朝鮮又中槍，近期Adobe Flash 0-Day攻擊幕後黑手竟然是他？

據思科和FireEye的安全研究人員稱，韓國黑客組織是最近發現Adobe Flash 0day漏洞攻擊的幕後黑手。

自發布以來，已經有超過1000個 Adobe Flash漏洞。旨在簡化網站開發並提供標準Web瀏覽器不支持的其他功能，這也提升了複雜程度和更廣泛的攻擊面。Web瀏覽器默認不再支持Flash，但用戶通常為了方便而重新啟用它。只要將它安裝在您的系統上就足以使這個最新的0day漏洞被利用。

韓國互聯網與安全中心KISA於2018年1月31日發布了一個安全公告，警告Adobe Flash Player的「免費使用」漏洞被廣泛的利用。第二天，Adobe發布了安全諮詢APSA18-01，確認CVE-2018-4878是一個潛在的遠程代碼漏洞，並宣布計劃在2018年2月5日發布安全補丁。該攻擊是在惡意SWF文件Microsoft Office或Hancom Hangul文檔或電子表格，一旦打開，受害者的計算機將通過Adobe Flash執行惡意SWF（如果已安裝）。

FireEye表示： 「開放和成功利用後，加密嵌入式有效載荷的解密密鑰將從受損的第三方網站下載。」

嵌入式負載很可能是DOGCALL惡意軟體，這有助於安裝 ROKRAT 命令和控制木馬，遠程攻擊者可以訪問受害者的系統。

專家警告說，在Adobe補丁到來之前，用戶應該非常謹慎地打開未知的電子表格和文檔文件。實際上，對於任何意外的或可疑的文件，尤其是那些支持嵌入的文件，由於可以隱藏各種惡意軟體，應該始終保持警惕。您還應該強烈考慮卸載Adobe Flash。即使在您的瀏覽器中禁用了它，只要將它安裝在您的系統上就足以讓最新的漏洞成功執行。有可能你不需要Adobe Flash了。正如Sophos所解釋的那樣：「我們聽到的最常見的需求是觀看網路視頻，但是如果你沒有Flash，幾乎所有的網站都會使用HTML5作為視頻。如果你卸載它，你的瀏覽器將會使用它的內置視頻播放器，所以你可能根本不需要Flash。「

思科和FireEye都在調查，並警告說，他們一直在追蹤的朝鮮黑客組織可能正是這次襲擊的幕後操縱者。FireEye稱其為TEMP.Reaper，思科稱為Group 123，與朝鮮有關係的黑客集團在2017年非常活躍。

據 FireEye的：「從歷史上看，他們的大部分目標都集中在韓國政府，軍事和國防工業基礎; 然而，去年他們已經擴大到其他國際目標。「

除了擴大攻擊目標之外，黑客組織似乎也在提升技能，利用各種不同的技術來部署破壞性的惡意軟體和指揮、控制木馬。

在過去的幾年中，朝鮮曾經有過很多黑客攻擊的指責。隨著2017年的緊張局勢和本月即將到來的韓國奧運會的舉行，有很多機會和潛在的動力。這次最新的攻擊表明，這個黑客組織準備好利用這些機會。

正如思科Talos安全團隊所描述的那樣，「123組織現在已經加入了ROKRAT最新有效載荷的一些犯罪精英。他們已經使用了Adobe Flash 0day之外的功能。這個變化代表了123組織熟度水平的一個重大轉變，我們現在可以從機密的角度評估123組織擁有一支高度熟練，高度積極和高度成熟的團隊。

*參考來源：

，FB小編Andy編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！