مرکز امنیت و‌ رخدادهای‌ سایبری | APK

آسیب‌پذیری Zero-Day جدید در Adobe Flash

آسیب‌پذیری Zero-Day جدید در Adobe Flash

گروه APT از طریق اسناد MS Word، درحال Exploit نمودن گسترده‌ی آسیب‌پذیری Zero-Day جدیدی می‌باشند که متعلق به Adobe Flash بوده و به مهاجم اجازه می‌دهد که Flash Objectهای مخرب در سیستم قربانی اجرا کند. مهاجمان اغلب یکی از کلینیک‌های خدمات درمانی روسیه را از طریق یک سند ساختگی هدف قرار می‌دهند، این سند ساختگی محتوی چند صفحه می‌باشد و برای اینکه مهاجم بتواند از این آسیب‌پذیری استفاده نماید، باید این فایل توسط یکی از کارمندان کلینیک باز گردد.

توزیع برنامه‌های کاربردی قلابی و ساختگی در کلینیک Polyclinic No.2 صورت گرفته است که یک کلینیک تخصصی بیماران سرپایی بزرگسال واقع در شهر مسکو روسیه می‌باشد. به دلیل تمرکز این حملات بر روی مراکز درمانی عمومی محققان این حملات را Operation Poison Needles (عملیات سوزن‌های سمی) نام‌گذاری کرده‌اند. برخی از Exploitها حاکی از آن هستند که این Zero-Day Exploit توسط HackingTeam که یک گروه امنیتی مهاجم ایتالیالی است و به دلیل استفاده ابزار جاسوسی و کنترل از راه دور است، مشهور است، توزیع شده است.

چندین حمله‌ی پیشین که توسط این تیم انجام شده بودند، به این حادثه شباهت بسیاری دارند، برای مثال استفاده از VMProtect برای حفاظت از Payloadها و جا زدنِ آن‌ها به‌عنوان برنامه‌های کاربردی معتبر که در آنها مشترک بوده است.

فرآیند Exploit نمودن آسیب‌پذیری Zero-Day

مرحله‌ی ابتدایی حمله شامل ارسال یک بسته‌ی فشرده‌شده توسط نرم‌افزار RAR می‌باشد که محتوی فایل ضمیمه‌ی Flash Active X بوده که هنگام باز شدن سند توسط قربانی، اجرا شده و در نهایت آسیب‌پذیری را فعال می‌نماید.

به بیان دیگر، به گفته‌ی تیم امنیتی 360 Core Security در یک گزارش، مهاجم حمله‌ی خود را از طریق یک بسته‌ی فشرده‌ی RAR به انجام رسانده است. هنگامی‌که قربانی سند طعمه را در بسته‌ی فشرده‌شده باز نماید، آسیب‌پذیری فعال می‌گردد.

آسیب‌پذیری Zero-Day جدید در Adobe Flash

این آسیب‌پذیری Flash در سیستم‌های 32 و 64 بیتی موجود بوده و تماماً در فیلد خصوصی یک سند انجام می‌پذیرد. علاوه بر این، فایلِ فلش شامل یک مسیر Hardcoded (مشخص شده) با عنوان «C:\run.de.swf» نیز می‌باشد که ممکن است مسیر فایل مخرب، برای حمله باشد.

طبق گزارش تجزیه‌وتحلیلی Gigamon، فایل فلش و Shellcode Stubها از هیچ‌گونه Remote Inclusion، Staging، Obfuscation و یا فعالیت ضد تحلیلگر و دیگر انواع آن استفاده نمی‌کند. هردو فایلShellcode  و Stub در «cmd.exe» با دستور اجرایی مشابهی اجرا می‌کنند:

C:\WINDOWS\system32\cmd.exe /c set path=%ProgramFiles(x86)%\WinRAR;C:\Program

 Files\WinRAR; && cd /d %~dp0 & rar.exe e -o+ -r -inul*.rarscan042.jpg &

 rar.exe e -o+ -r -inulscan042.jpg backup.exe & backup.exe

پس از اجرای فایل بالا، ابتدا فایل «scan042.jpg» از بسته‌های  rar خارج شده و بعد از آن فایل «backup.exe» از «scan042.jpg» خارج می‌گردد و آخرین Payload از «backup.exe» اجرا می‌شود.

Payload و Exploit پس از باز شدن سند در داخل بسته‌ی فشرده توسط کاربر، بلافاصله اجرا می‌گردند و این بدین معنی است که نیازی نیست کاربر در ابتدا فایل‌های سند Exploit شده و Payload را از حالت فشرده خارج کند. نام Payload اصلی «backup.exe» بوده است که در درون «scan042.jpg» گنجانده شده است که خود یک فایل اجرایی ویندوز می‌باشد که به‌عنوان یک برنامه‌ی کاربردی NVidia Control Panel نمایان شده و آیکون مشابهی نیز دارد. همچنین از آن توسط VMProtect نیز حفاظت می‌شود که مانع مهندسی معکوس و تجزیه‌وتحلیل شده و پس از اجرا شدن، Payload اطلاعات سیستمی را جمع‌آوری کرده، ماندگاری (Persistence) برقرار کرده و از طریق یک HTTP POST با یک سرور از راه دور ارتباط برقرار می‌کند.

انتشار سریع یک Patch توسط Adobe

شرکت Adobe یک Patch امنیتی برای این آسیب‌پذیری Zero-Day منتشر نموده است که برای Flash Player 31.0.0.153 و نسخه‌های پیشین و ID:CVE-2018-15982 تخصیص‌یافته است. کاربران مجاب شده‌اند که بلافاصله به نسخه‌ی 32.0.0.101 به‌روزرسانی کنند تا از این حمله جلوگیری شود.

جزییات و مرکز کنترل فایل مخرب

هشِ فایلهای مخرب:

  • 92b1c50c3ddf8289e85cbb7f8eead077
  • 1cbc626abbe10a4fae6abf0f405c35e2
  • 2abb76d71fb1b43173589f56e461011b

آدرس IP سرور کنترل بدافزار:

188.241.58.68

اشتراک امنیت

دسته ها