黑客組織APT3利用Flash 0day漏洞發動大規模釣魚活動
責編:mhshi |2015-06-24 18:15:59近日Adobe發布一個緊急安全更新,建議用戶及管理員修復Flash Player中編號為CVE-2015-3113的0day漏洞,因為該漏洞正被APT3黑客組織用在大規模的釣魚攻擊活動中。
漏洞詳情
如果該漏洞被攻擊者利用的話,受害者系統可能會被其完全掌控。另外,在windows7或者更低的版本上運行IE、在windows XP上運行Firefox都很容易受到網絡攻擊。
攻擊者發送的釣魚郵件中包含一個指向受感染的web服務器的惡意鏈接,它會提供無害的內容或者含有該漏洞的Adobe Flash player文件。前段時間在新加坡也發現了利用該漏洞的釣魚活動,攻擊方式和這次的完全一樣。一旦受害者點開了釣魚郵件中的URL,就會被重定向到一個感染了惡意程序的托管JavaScript分析腳本的服務器上。如果受害者下載了惡意的Adobe Flash player SWF文件和FLV文件,則可能會留下一個惡意后門——SHOTPUT、CookieCutter。
被攻擊者利用的漏洞存在于Adobe Flash player解析Flash video(FLV)文件的過程中。該漏洞會使用普通的向量攻擊技術繞過隨機分配地址空間(ASLR),使用返回導向編程(ROP)繞過數據執行保護(DEP)。ROP技術的妙處在于它很容易被利用,而且還可以躲避一些ROP檢測技術。
APT3組織利用該漏洞
火眼公司發布的報告稱,近幾周一個名為APT3的黑客組織利用這個漏洞攻擊航空、國防、技術、通信、建筑、工程及交通等行業組織機構。火眼公司指出,APT3是一個因利用IE、Firefox以及Flash Player 0day漏洞而為人熟知的復雜組織。該組織還使用了定制后門而且經常修改命令和服務器基礎架構,讓研究人員更加難以追蹤它的活動。
解決方案:更新至最新版本或棄用
為了保護用戶,Adobe建議用戶更新至最新的Flash Player版本:Windows及Mac為18.0.0.194,Linux為11.2.202.468,擴展支持版本為13.0.0.296。Chrome和Windows 8.x上IE瀏覽器默認安裝的Flash Player插件將自動更新。如果用戶在Windows或Mac上選擇了“允許Adobe安裝更新”,更新也會自動完成。
此外,安全研究人員還給出了另外一種解決方案:卸載Flash……