Tin tặc khai thác lỗ hổng trong Flash Player để phát tán phần mềm độc hại trên diện rộng

Minh Lộc| 01/03/2018 09:36
Theo dõi ICTVietnam trên

Hãng bảo mật điểm cuối Morphisec đã phát hiện ra một chiến dịch quy mô lớn, khai thác lỗ hổng đã từng được vá trong Adobe Flash Player để phát tán phần mềm độc hại.

CVE – 2018 - 4878 là một lỗ hổng use-after-free nằm trong khâu quản lý bộ nhớ từng được Adobe vá ngày 06/02 vừa qua sau khi có báo cáo rằng, tin tặc ở Triều Tiên đã khai thác lỗ hổng này trong các cuộc tấn công nhắm vào Hàn Quốc. Các mối đe dọa được theo dõi như APT37, Reaper, Group123 và ScarCruft đã mở rộng phạm vi và sự tinh vi trong các chiến dịch tấn công.

Lỗ hổng này cho phép thực thi mã từ xa. Sau khi Adobe vá lỗ hổng, những kịch bản mã độc khác bắt đầu tìm cách khai thác CVE-2018-4878

Morphisec cho biết họ đã phát hiện ra một chiến dịch vào ngày 22/2. Chiến dịch này đã sử dụng một phiên bản khai thác tương tự như của APT37. Tuy nhiên, các nhà nghiên cứu đã chỉ ra rằng việc khai thác trong chiến dịch malspam (malware phát tán qua email) không giống như đã được sử dụng trong các cuộc tấn công ban đầu, không có phiên bản 64-bit.

Cuộc tấn công bắt đầu với thư rác có chứa liên kết tới một tài liệu được lưu trong safe-storage[.]biz. Một khi được tải xuống và mở ra, tài liệu thông báo cho người dùng rằng không hỗ trợ việc xem trước trực tuyến và hướng dẫn họ bật chế đổ chỉnh sửa để xem được nội dung.

Nếu người dùng làm theo, lỗ hổng Flash sẽ bị khai thác và dấu nhắc lệnh của Windows (Windows command prompt) được thực thi. Sau đó, tập tin cmd.exe kèm theo được cấy mã độc shellcode (một đoạn mã máy nhỏ cho phép thực hiện chỉ một nhiệm vụ nào đó bên trong một chương trình bị khai thác) nhằm kết nối tới tên miền của tin tặc. Sau đó, một tập tin DLL (Dynamic Link Librar) được tải xuống bởi shellcode và thực thi sử dụng tiện ích Microsoft Register Server (regsvr32).

Các tài liệu độc hại và khai thác Flash chỉ được phát hiện bằng một vài giải pháp bảo mật dựa trên chữ ký của họ tại thời điểm phân tích của Morphisec.

Do URL (Uniform Resource Locator) trong các email rác được tạo ra sử dụng dịch vụ rút ngắn URL của Google, các nhà nghiên cứu xác định, mỗi liên kết khác nhau được phát tán trong chiến dịch này đã nhấp vào hàng chục và thậm chí là hàng trăm lần trong vòng 3 - 4 ngày kể từ khi được tạo ra. Người dùng nhấp vào liên kết từ nhiều dịch vụ email và trình duyệt khác nhau, bao gồm Outlook, Gmail và Aruba.it.

 “Theo tính toán và dự báo, các đối thủ đã nhanh chóng chấp nhận việc khai thác Flash mà nó dễ dàng có khả năng sao chép lại”, Michael Gorelik của Morphisec cho biết. “Với những thay đổi nhỏ cho cuộc tấn công, tin tặc đã thành công trong việc triển khai một chiến dịch malspam trên diện rông và vượt qua hầu hết những giải pháp quét tĩnh hiện có”.

Nổi bật Tạp chí Thông tin & Truyền thông
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • ‏FPT đẩy mạnh phát triển giải pháp low-code tại thị trường Hàn Quốc‏
    ‏Mới đây, FPT vừa ký kết thỏa thuận hợp tác ba năm với OutSystems, chính thức trở thành đối tác phân phối và triển khai tại thị trường Hàn Quốc, đảm bảo thời gian ra mắt phần mềm của khách hàng được rút ngắn và tối ưu chi phí.
  • Người giữ bình yên nơi vùng cao
    Huyện Sơn Động là huyện vùng cao của tỉnh Bắc Giang, có tỷ lệ người dân tộc thiểu số (DTTS) cao nhất tỉnh, chiếm 56,92%, với địa hình rừng núi, giao thông đi lại khó khăn, phong tục tập quán, bản sắc văn hóa đa dạng chính vì vậy công tác đảm bảo an ninh trật tự ở các bản làng luôn là nhiệm vụ được các cấp ủy Đảng quan tâm. Do đó, đội ngũ già làng, trưởng bản, người uy tín luôn là đội ngũ nòng cốt góp phần xây dựng khối đại đoàn kết dân tộc, giữ gìn an ninh trật tự xã hội trong cộng đồng.
  • Tuyên Quang: Kiên trì phương châm “mưa dầm thấm lâu” để nâng cao kiến thức pháp luật cho đồng bào vùng DTTS&MN
    Với phương châm “mưa dầm thấm lâu”, những năm qua, các cấp chính quyền tỉnh Tuyên Quang đã đa dạng hoá các hình thức tuyên truyền, góp phần giúp các kiến thức pháp luật về mọi mặt của đời sống ngày một đến gần hơn với người dân (đặc biệt là vùng đồng bào DTTS&MN).
  • Phát hiện lỗ hổng cho phép tấn công chiếm quyền điều khiển thiết bị từ xa
    Những lỗ hổng này có thể ảnh hưởng đến một loạt thiết bị, từ điện thoại thông minh, máy tính bảng, cho đến phương tiện di chuyển có kết nối công nghệ và hệ thống viễn thông.
Đừng bỏ lỡ
Tin tặc khai thác lỗ hổng trong Flash Player để phát tán phần mềm độc hại trên diện rộng
POWERED BY ONECMS - A PRODUCT OF NEKO