Октябрьский вторник обновлений на прошлой неделе принес интересную новость: компания Adobe сообщила, что впервые за много лет месяц обошелся без релиза обновлений безопасности для Flash Player. Но теперь, неделю спустя, во Flash Player устранили критический 0-day баг, который уже использовали хакеры.
Согласно официальному сообщению компании, внеплановый патч устранил уязвимость CVE-2017-11292, которая представляла опасность для Windows, macOS, Linux и Chrome OS, также для браузеров Microsoft Edge и Internet Explorer 11 (Windows 10 и 8.1). Данная проблема относилась к типу type confusion и позволяла атакующему выполнить на уязвимом устройстве произвольный код.
Баг обнаружили специалисты «Лаборатории Касперского», которые также сообщили, что вышеупомянутую уязвимость уже использует для атак APT-группа BlackOasis, распространяющая таким образом известную спайварь FinSpy.
Исследователи отслеживают эту группировку не первый год, и, стоит сказать, что BlackOasis не впервые эксплуатирует 0-day уязвимость для своих операций. Так, ранее злоумышленники использовали CVE-2017-8759 (сентябрь 2017 года), CVE-2016-4117 (май 2016), CVE-2016-0984 (июль 2015 года) и CVE-2015-5119 (июнь 2015 года).
В свежем отчете специалисты «Лаборатории Касперского» отмечают, что пейлоад FinSpy, использованный в ходе текущей вредоносной кампании (CVE-2017-11292), делит управляющий сервер с пейлоадом CVE-2017-8759, обнаруженным аналитиками компании FireEye.
Во время свежей кампании, задействовавшей эксплоит для проблемы CVE-2017-11292, злоумышленники использовали документы Office, содержащие ActiveX-объекты. Вредоносные файлы жертвам направляли преимущественно по почте. После открытия документа происходила загрузка пейлоада, файла mo.exe, внутри которого скрывался FinSpy.
Кто на этот раз стал целью группировки, не сообщается. Напомню, что ранее BlackOasis атаковали правительственные и военные организации в странах Ближнего Востока, Северной Америки, России, Украине и Европе.