A Kaspersky Lab exploitészlelő rendszere nemrég egy Adobe Flash nulladik napi exploitot azonosított, amelyet a BlackOasis néven ismert kibercsapda felhasználásával indított támadás során használtak október 10-én. A cég szakemberei jelentették ezt az Adobe-nak, akik azóta közzétették javaslataikat.
A Kaspersky kutatói a CVE-2017-11292 nevű sebezhetőséget egy élő támadás folyamán érzékelték, és azonnal jelezték a vállalatoknak, valamint az állami szervezeteknek, hogy frissítsék Adobe-programjaikat. A kutatók szerint ugyanaz a kiberbűnöző csoport további támadásokért is felelőssé tehető, mint például a szeptemberben észlelt, CVE-2017-8759 nevű, nulladik napi sebezhetőség, amit a cég szerint szintén a BlackOasis kibercsapdával használtak fel.
Az elemzés szerint a sebezhetőség kihasználásával párhuzamosan a FinSpy vagy FinFisher nevű pénzügyi malware-t is telepíthetik a számítógépekre. Ezt jellemzően nemzetállamok és bűnüldöző szervek használták, főként helyi megfigyelésekre. Ezzel szemben a BlackOasis célpontjai globálisak, ami arra utal, hogy a FinSpy-t globális hadműveletek közben használják, gyaníthatóan egyik ország egy másik ellen.
A támadás alatt a FinSpy legújabb verzióját használták, amely több anti-elemző technikával rendelkezik, ezzel is nehezítve a nyomozást. A telepítés után a malware csatlakozik C&C szerveréhez – ilyeneket Svájcban, Bulgáriában és Hollandiában lokalizáltak –, majd további utasításokra vár, miközben a megtámadott számítógép adatait gyűjti.
Az elemzés szerint a BlackOasis támadása érintett több közel-keleti politikust, prominens ENSZ-képviselőket, ellenzéki aktivistákat és bloggereket, valamint regionális hírek tudósítóit, azaz az adott régió különösen fontos személyeit. 2016-ban a vizsgálatok azt mutatták, hogy a kiberfenyegetés nagyon aktív Angolában: pénzmosásra, olajkitermeléssel kapcsolatos gyanús dokumentumok jelzésére és egyéb tevékenységekre használhatták.
(IT Café)