Kaspersky Lab scopre uno Zero Day di Adobe Flash utilizzato da un gruppo criminale per diffondere spyware
Il sistema avanzato di prevenzione degli exploit di Kaspersky Lab ha individuato un nuovo exploit zero-day di Adobe Flash, utilizzato il 10 ottobre per un attacco effettuato da un gruppo criminale noto come BlackOasis. L'exploit viene diffuso tramite un documento di Microsoft Word, e implementa FinSpy, malware con obiettivi commerciali. Kaspersky Lab ha prontamente segnalato la vulnerabilità ad Adobe, che ha rilasciato una segnalazione.
Secondo i ricercatori di Kaspersky Lab, lo zero-day CVE-2017-11292 è stato rilevato durante l’attacco. È importante che imprese e organizzazioni governative installino prima possibile l'aggiornamento di Adobe.
I ricercatori ritengono che il gruppo che si nasconde dietro questo attacco sia lo stesso responsabile dello zero-day CVE-2017-8759 rilevato a settembre, e sono certi che si tratti del gruppo BlackOasis, che il Global Research and Analysis Team monitora dal 2016.
L'analisi rivela che, subito dopo aver sfruttato con successo la vulnerabilità, il malware FinSpy (noto anche come FinFisher) viene installato nel computer di destinazione. FinSpy è un malware con obiettivi commerciali, tipicamente venduto a Stati, Nazioni e forze dell’ordine per scopi di sorveglianza. In passato, il malware veniva utilizzato dalle forze dell’ordine a livello nazionale per la sorveglianza di obiettivi locali. BlackOasis è un'eccezione significativa, perché lo ha utilizzato contro una vasta gamma di obiettivi in tutto il mondo, e questo potrebbe indicare, peraltro, che FinSpy stia effettuando operazioni di intelligence in un Paese per conto di un altro Paese.
Il malware utilizzato nell'attacco è la versione più recente di FinSpy, dotata di tecniche di anti-analisi, utilizzate per rendere più difficile il lavoro di analisi forense.
Dopo l'installazione, il malware stabilisce un punto d'appoggio sul computer attaccato e si connette ai server di comando e controllo ubicati in Svizzera, Bulgaria e Paesi Bassi, in attesa di ulteriori istruzioni.
Basandosi sulla valutazione di Kaspersky Lab, gli interessi di BlackOasis riguardano un'ampia gamma di personaggi che appartengono allo scenario politico del Medio Oriente, importanti esponenti delle Nazioni Unite, blogger e attivisti di opposizione, nonché giornalisti corrispondenti.
Nel corso del 2016, i ricercatori dell'azienda hanno osservato un forte interesse per l'Angola, dimostrato da documenti “esca” che indicavano obiettivi con presunti legami con settori quali petrolio, riciclaggio di denaro ed altre attività. È stato osservato anche un interesse nei confronti di attivisti internazionali e gruppi di esperti.
Le vittime di BlackOasis sono state identificate in Paesi quali Russia, Iraq, Afghanistan, Nigeria, Libia, Giordania, Tunisia, Arabia Saudita, Iran, Paesi Bassi, Bahrein, Regno Unito e Angola.
"L'attacco scoperto di recente che utilizza l’exploit zero-day è il terzo in cui viene distribuito FinSpy: in precedenza, i gruppi criminali che hanno diffuso questo malware hanno sfruttato criticità all’interno dei prodotti Microsoft Word e Adobe. Crediamo che il numero di attacchi come quello descritto, che si basano sul software FinSpy, e che sono supportati da exploit zero-day, continuerà a crescere", ha dichiarato Anton Ivanov, Lead Malware Analyst Kaspersky Lab.
Gli esperti di Kaspersky Lab consigliano alle organizzazioni di intraprendere alcune azioni per proteggere i propri sistemi e i propri dati da questo tipo di minacce, tra cui: disabilitare completamente il software Flash; implementare una soluzione di sicurezza avanzata e multistrato che copra tutte le reti, i sistemi e gli endpoint; educare e formare il personale sulle tattiche di ingegneria sociale, poiché spesso vengono convinte le vittime degli attacchi ad aprire un documento dannoso, o a cliccare su un collegamento infetto; effettuare regolarmente valutazioni di sicurezza dell'infrastruttura IT dell'organizzazione.
Per avere maggiori dettagli tecnici, inclusi indicatori di compromissione e regole YARA, è possibile leggere il blog post su https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-zero-day-exploit/82732
Secondo i ricercatori di Kaspersky Lab, lo zero-day CVE-2017-11292 è stato rilevato durante l’attacco. È importante che imprese e organizzazioni governative installino prima possibile l'aggiornamento di Adobe.
I ricercatori ritengono che il gruppo che si nasconde dietro questo attacco sia lo stesso responsabile dello zero-day CVE-2017-8759 rilevato a settembre, e sono certi che si tratti del gruppo BlackOasis, che il Global Research and Analysis Team monitora dal 2016.
L'analisi rivela che, subito dopo aver sfruttato con successo la vulnerabilità, il malware FinSpy (noto anche come FinFisher) viene installato nel computer di destinazione. FinSpy è un malware con obiettivi commerciali, tipicamente venduto a Stati, Nazioni e forze dell’ordine per scopi di sorveglianza. In passato, il malware veniva utilizzato dalle forze dell’ordine a livello nazionale per la sorveglianza di obiettivi locali. BlackOasis è un'eccezione significativa, perché lo ha utilizzato contro una vasta gamma di obiettivi in tutto il mondo, e questo potrebbe indicare, peraltro, che FinSpy stia effettuando operazioni di intelligence in un Paese per conto di un altro Paese.
Il malware utilizzato nell'attacco è la versione più recente di FinSpy, dotata di tecniche di anti-analisi, utilizzate per rendere più difficile il lavoro di analisi forense.
Dopo l'installazione, il malware stabilisce un punto d'appoggio sul computer attaccato e si connette ai server di comando e controllo ubicati in Svizzera, Bulgaria e Paesi Bassi, in attesa di ulteriori istruzioni.
Basandosi sulla valutazione di Kaspersky Lab, gli interessi di BlackOasis riguardano un'ampia gamma di personaggi che appartengono allo scenario politico del Medio Oriente, importanti esponenti delle Nazioni Unite, blogger e attivisti di opposizione, nonché giornalisti corrispondenti.
Nel corso del 2016, i ricercatori dell'azienda hanno osservato un forte interesse per l'Angola, dimostrato da documenti “esca” che indicavano obiettivi con presunti legami con settori quali petrolio, riciclaggio di denaro ed altre attività. È stato osservato anche un interesse nei confronti di attivisti internazionali e gruppi di esperti.
Le vittime di BlackOasis sono state identificate in Paesi quali Russia, Iraq, Afghanistan, Nigeria, Libia, Giordania, Tunisia, Arabia Saudita, Iran, Paesi Bassi, Bahrein, Regno Unito e Angola.
"L'attacco scoperto di recente che utilizza l’exploit zero-day è il terzo in cui viene distribuito FinSpy: in precedenza, i gruppi criminali che hanno diffuso questo malware hanno sfruttato criticità all’interno dei prodotti Microsoft Word e Adobe. Crediamo che il numero di attacchi come quello descritto, che si basano sul software FinSpy, e che sono supportati da exploit zero-day, continuerà a crescere", ha dichiarato Anton Ivanov, Lead Malware Analyst Kaspersky Lab.
Gli esperti di Kaspersky Lab consigliano alle organizzazioni di intraprendere alcune azioni per proteggere i propri sistemi e i propri dati da questo tipo di minacce, tra cui: disabilitare completamente il software Flash; implementare una soluzione di sicurezza avanzata e multistrato che copra tutte le reti, i sistemi e gli endpoint; educare e formare il personale sulle tattiche di ingegneria sociale, poiché spesso vengono convinte le vittime degli attacchi ad aprire un documento dannoso, o a cliccare su un collegamento infetto; effettuare regolarmente valutazioni di sicurezza dell'infrastruttura IT dell'organizzazione.
Per avere maggiori dettagli tecnici, inclusi indicatori di compromissione e regole YARA, è possibile leggere il blog post su https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-zero-day-exploit/82732