Хакери активно експлуатують вразливість в Adobe Flash Player

На початку лютого нинішнього року SecurityLab повідомив про нову критичну вразливість нульового дня в Adobe Flash Player (CVE-2018-4878), що активно експлуатується хакерським угрупуванням APT37 (також відома як Reaper, Group123 і ScarCruft) в атаках проти Південної Кореї. Хоча Adobe випустила коригуюче оновлення Flash Player 28.0.0.161 через кілька днів після оприлюднення інформації про проблему, багато компаній, як і раніше, використовують вразливу версію продукту, чим користуються кіберзлочинці.

Зокрема, наприкінці лютого експерти з компанії Morphisec Labs зафіксували масштабну операцію з поширення шкідливого ПЗ, у рамках якої зловмисники використовують експлоїт схожий на те, що застосовувався в атаках APT37. Однак цей варіант не має 64-бітної версії, зазначають дослідники.

Під час кампанії зловмисники розповсюджують спам-повідомлення, що містять посилання на документ Microsoft Word, розташований на ресурсі storage[.]biz. Для перегляду вмісту завантаженого документа жертві рекомендується включити режим редагування. Якщо користувач слідує інструкції, шкідливий шелл-код запускає командний рядок і підключається до домену атакуючого. Потім на пристрій завантажується та за допомогою утиліти Microsoft Register Server (regsvr32) виконується DLL-бібліотека.

Шкідливі листи включали кілька коротких посилань, створених за допомогою Google URL Shortener. За оцінками дослідників, за 3-4 дні кампанії перехід за цими посиланнями здійснювався десятки та сотні разів.

Як і очікувалося, зловмисники швидко взяли на озброєння експлоїт для вразливості Adobe Flash Player. Злегка змінивши атаку, вони успішно запустили масштабну шкідливу кампанію і вкотре обійшли більшість статичних сканерів.

Regsvr32 (Microsoft Windows Register Server) - системна утиліта, що призначається для реєстрації та скасування реєстрації елементів керування ActiveX, компонентів фільтрів (кодеків) та компонентів бібліотек DLL у системі Windows за допомогою внесення змін до реєстру.