مهاجمان از یک بهره‌بردار روزِ صفر دیگر در Flash استفاده کردند تا نرم‌افزار جاسوسی FinFisher را بگسترانند.

Flash

FinSpy که یک بدافزار نظارتیِ بدنام بود[۱] دوباره بازگشته است و هدف‌های خود را با استفاده از یک بهره‌بردار روزِ صفر در Adobe Flash آلوده می‌کند که توسط پرونده‌های مایکروسافت آفیس منتقل می‌شود.

محققان امنیتی در کاسپرسکی یک آسیب‌پذیری جدید اجرای کد از راه دورِ روز صفر را در Adobe Flash کشف کردند[۲] که به‌طور فعال در سطح اینترنت و توسط گروهی از مهاجمان حرفه‌ای به نام BalckOasis مورد بهره‌برداری قرار می‌گرفت.

این آسیب‌پذیری حیاتی که CVE-2017-11292 نام‌گذاری شده است می‌تواند منجر به یک اجرای کد شده و بر روی نسخه ۲۱٫۰٫۰٫۲۲۶ برنامه Flash تأثیرگذار است که بر روی بیشتر سیستم‌عامل‌های اصلی شامل ویندوز، مکینتاش، لینوکس و سیستم‌عامل Chrome اجرا می‌شود.

محققان می‌گویند BlackOasis همان گروهی از مهاجمان هستند که مسئول بهره‌برداری از یک آسیب‌پذیری روز صفر دیگر به نام CVE-2017-8759 هستند که توسط محققان شرکت FireEye و در ماه سپتامبر ۲۰۱۷ کشف شد[۳].

همچنین payload نهایی FinSpy در حملات کنونی که از آسیب‌پذیری روز صفر در Flash به نام CVE-2017-11292 بهره‌برداری می‌کند از همان سرور کنترل و فرمانی^(۱) استفاده می‌کند که توسط payload آسیب‌پذیری CVE-2017-8759 استفاده می‌شد که نوعی آسیب‌پذیری اجرای کد از راه دور در NET Framework بود.

تاکنون BlackOasis قربانیان مختلفی را در کشورهای روسیه، عراق، افغانستان، نیجریه، لیبی، عمان، تونس، عربستان سعودی، ایران، هلند، بحرین، انگلستان و آنگولا مورد هدف قرار داده است.

این بهره‌برداری جدید روز صفر گزارش‌شده حداقل پنجمین آسیب‌پذیری روز صفری است که توسط گروه BlackOasis از ماه ژوئن ۲۰۱۵ تاکنون مورد بهره‌برداری قرار گرفته است.

این بهره‌بردار روز صفر از طریق پرونده‌های مایکروسافت آفیس بالأخص نرم‌افزار Word انتقال داده می‌شود که به یک هرزنامه ضمیمه می‌شوند و در یک فایل Word که شامل یک شی^(۲) ActiveX است و حاوی بهره‌بردار Flash موردنظر است، جاسازی می‌شود.

این بهره‌بردار، بدافزار تجاری FineSpy را به‌عنوان payload نهایی حمله پیاده‌سازی می‌کند.

محققان امنیتی در کاسپرسکی دراین‌باره می‌گویند: “شی Flash حاوی یک ActionScript است که مسئولیت استخراج این بهره‌بردار را با استفاده از یک بسته‌بندی دلخواه که در بهره‌بردارهای FinSpy دیده شده است را بر عهده دارد.”

FinSpy یک ابزار نظارت بسیار سری است که قبلاً با گروه Gamma مرتبط بوده است، که یک شرکت بریتانیایی است که به‌طور قانونی نرم‌افزارهای نظارت و جاسوسی را به سازمان‌های دولتی در سراسر جهان می‌فروشد.

FinSpy که به FinFisher نیز معروف است قابلیت‌های جاسوسی خود را بر روی سیستم‌ آلوده‌شده گسترش داده است که شامل نظارت آنلاین با روشن کردن وب‌کم و میکروفن، ضبط تمامی کلیدهای فشرده‌شده توسط قربانی، شنود تماس‌های اسکایپ و ویرایش فایل‌ها می‌شود.

برای ورود به سیستم قربانی، FineSpy معمولاً از شاخص‌های حمله مختلفی استفاده می‌کند که شامل حمله phishing، نصب کردن دستی با دسترسی فیزیکی به دستگاه آلوده‌شده، بهره‌بردارهای روز صفر و حملات watering hole می‌شود.

Anton Ivanov که رئیس بخش بدافزار در کاسپرسکی است دراین‌باره می‌گوید: “این حمله از یک بهره‌بردار که اخیراً کشف شده استفاده می‌کند و این سومین باری است که در سال جاری شاهد هستیم FinSpy از طریق آسیب‌پذیری‌های روز صفر و بهره‌بردارهای گوناگون گسترش می‌یابد. اخیراً، مهاجمان با سوءاستفاده از مشکلات حیاتی در Microsoft Word و Adobe Flash این بدافزار را پیاده‌سازی می‌کردند. ما معتقدیم که تعداد حملاتی که بر پایه نرم‌افزار FinSpy است و توسط بهره‌بردارهای روز صفر پشتیبانی می‌شوند، روزبه‌روز در حال افزایش است.”

کاسپرسکی این آسیب‌پذیری را به Adobe گزارش داده است و این شرکت این آسیب‌پذیری را با انتشار نسخه‌های ۲۷٫۰٫۰٫۱۵۹ و ۲۷٫۰٫۰٫۱۳۰ برطرف کرده است[۴].

فقط در ماه گذشته، محققان امنیتی در ESET دانلودهای قانونی از چندین برنامه معروف مانند واتزاپ، اسکایپ، VLC Player و WinRAR را کشف کردند که در حال گسترانیدن FinSpy و از طریق آلوده کردن ISPها بودند[۵].

بنابراین، به سازمان‌های دولتی و کسب‌وکار در سراسر جهان به‌شدت توصیه می‌شود تا به‌روزرسانی اخیر Adobe را در اسرع وقت بر روی سیستم‌های خود نصب کنند.

مایکروسافت نیز به‌احتمال‌زیاد یک به‌روزرسانی امنیتی را برای وصله کردن اجزای Flash Player مورداستفاده در محصولاتش منتشر خواهد کرد.