Перейти к содержанию

Стали известны новые подробности об уязвимости нулевого дня в Flash Player


Рекомендуемые сообщения

Исследователи кибербезопасности из компаний FireEye и Cisco Talos проанализировали атаки, в которых эксплуатировалась недавно выявленная уязвимость нулевого дня в Adobe Flash Player и связали их с группой, известной своими атаками на цели в Южной Корее.

Ранее компьютерная группа реагирования на чрезвычайные инциденты (CERT) Южной Кореи сообщила о новой уязвимости нулевого дня в Adobe Flash Player, эксплуатируемой хакерами в реальных атаках. Проблема (CVE-2018-4878) позволяет удаленному злоумышленнику выполнить произвольный код и затрагивает текущую версию продукта 28.0.0.137 и более ранние. По словам исследователей безопасности, уязвимость эксплуатируется по меньшей мере с середины ноября 2017 года. Adobe подтвердила наличие проблемы и заявила о выходе патча в ближайшее время.

Исследователи из FireEye провели расследование, в ходе которого им удалось связать атаки с хакерской группировкой, которую они назвали TEMP.Reaper. Считается, что данная группировка действует из Северной Кореи, поскольку IP-адреса, с которых они связывались с C&C-серверами, принадлежат интернет-провайдеру Star JV - совместному предприятию Северной Кореи и Таиланда.

«Большая часть атак была сосредоточена на южнокорейской правительственной, военной и оборонной промышленной базе, однако в прошлом году они расширили географию своих атак и начали атаковать цели в других странах. Они проявили интерес к вопросам, имеющим большое значение для Корейской Народно-Демократической Республики (КНДР), таким как попытки объединения Кореи и прием северокорейских перебежчиков», - отметили исследователи.

Как выяснили эксперты, хакеры эксплуатировали уязвимость в Flash Player с помощью вредоносных документов Microsoft Office, содержащих специально сформированный SWF-файл. В случае успешной эксплуатации уязвимое устройство заражается вредоносным ПО DOGCALL (по класификации FireEye).

Специалисты Cisco Talos также сообщили об атаках с использованием данного вредоносного ПО, которое они назвали Rokrat. Исследователи связали атаки с той же хакерской группировкой, которая фигурирует в отчетах Cisco Talos под названием Group 123. В прошлом месяце специалисты из Talos подробно описали несколько кампаний, проведенных данной группировкой против южнокорейских чиновников и правозащитных организаций.

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
×
×
  • Создать...