Kiberbűnözők prominens politikusokat és ENSZ képviselőket támadtak meg
2017. október 18.
A Kaspersky Lab fejlett exploit észlelő rendszere nemrég egy Adobe Flash nulladik napi exploitot azonosított, amelyet a BlackOasis néven ismert kibercsapda felhasználásával indított támadás során használtak október 10-én. Az exploitot Microsoft Word segítségével terjesztették, amely egyúttal a FinSpy pénzügyi malware-t is telepítette a számítógépekre. A cég szakemberei jelentették az Adobe felé, akik azóta közzétették javaslataikat.
A Kaspersky Lab kutatói a CVE-2017-11292 nevű sebezhetőséget egy élő támadás folyamán érzékelték, és azonnal jelezték a vállalatoknak, valamint az állami szervezeteknek, hogy frissítsék Adobe programjaikat.
Kép forrása: https://www.kaspersky.com/blog/
A kutatók úgy vélik, hogy ugyanaz a kiberbűnöző csoport további támadásokért is felelőssé tehető, mint például a szeptemberben detektált CVE-2017-8759 nevű nulladik napi sebezhetőség, amelyet a cég szerint szintén a BlackOasis kibercsapdával használtak fel. A kibertanácsadó cég GReAT (Global Research and Analysis Team) részlege az említett kibercsapdát 2016 óta figyeli.
Kép forrása: https://www.kaspersky.com/blog/
Az elemzés kimutatta, hogy a már említett FinSpy malware-t (más néven FinFisher) szimultán telepítik a megtámadott számítógépekre. Ezt a kártékony programot jellemzően nemzetállamok és bűnüldöző szervek használták főként helyi megfigyelésekre. Ezzel szemben a BlackOasis célpontjai globálisak, ami arra utal, hogy a FinSpy-t globális hadműveletek közben használják, gyaníthatóan egyik ország egy másik ellen.
A támadás alatt a FinSpy legújabb verzióját használták, amely több anti-elemző technikával rendelkezik, ezzel is nehezítve a nyomozást.
A telepítés után a malware csatlakozik C&C szerveréhez, amit Svájcban, Bulgáriában és Hollandiában lokalizáltak és további utasításokra vár miközben a megtámadott számítógép adatait gyűjti.
Az elemzés szerint a BlackOasis támadása érintett több közel-keleti politikust, prominens ENSZ képviselőket, ellenzéki aktivistákat és bloggereket valamint regionális hírek tudósítóit, azaz az adott régió különösen fontos személyeit. 2016-ban a vizsgálatok azt mutatták, hogy a kiberfenyegetés nagyon aktív Angolában, pénzmosásra, olaj kitermeléssel kapcsolatos gyanús dokumentumok jelzésére és egyéb tevékenységekre használhatták.
Mindeddig a BlackOasis áldozatai között a következő országokat találjuk: Oroszország, Irak, Afganisztán, Nigéria, Líbia, Jordánia, Tunézia, Szaúd-Arábia, Irán, Hollandia, Bahrein, az Egyesült Királyság és Angola.
„A támadás idején nemrég felfedezett FinSpy-on keresztül érkező nulladik napi exploitot idén harmadik alkalommal láttuk. Korábban a kibercsapda olyan programokkal okozott kritikus károkat, mint a Microsoft Word és az Adobe termékei. Úgy véljük, hogy a FinSpy szoftveren alapuló további támadások várhatóak a közeljövőben.” - mondta Anton Ivanov, a Kaspersky Lab vezető malware elemzője.
A Kaspersky Lab termékei sikeresen észlelik és blokkolják a frissen felfedezett biztonsági réseket.
A Kaspersky Lab szakértői az alábbi lépéseket javasolják a szervezeteknek annak érdekében, hogy megvédjék rendszereiket és adataikat a kibercsapdától:
- Használja a Flash killlbit funkcióját.
- Használjon többszíntű biztonsági megoldást, amely védi hálózatát, rendszerét és végpontjait.
- Gondoskodjon alkalmazottainak informatikai képzéséről.
- Egyeztessen rendszeresen cége IT részlegével.
- Használja a Kaspersky Lab “Threat Intelligence” programját, amely naprakész információval segít a kibertámadásokról és a kiberfenyegetésekről. Bővebb információért, kérjük írjon az intelreports@kaspersky.com email címre.
Bővebb információt a támadásról és annak technikai részleteiről, beleértve az IoC-ről és a YARA szabályokról, ezen a linken talál.
Kapcsolódó cikkek
- A Kaspersky Lab sebezhetőséget talált az Adobe Flash-ben
- Tippek a vállalatok és munkavállalóik tudatosabb felkészítéséhez
- Idén is megrendezésre kerül az Európai Kiberbiztonsági Hónap
- Etikus hekkerek segítségével hatolnak be ipari rendszerek hálózatába
- A Kaspersky Lab CTF játékkal keresi az ipari létesítmények sebezhetőségét
- A harmadik fél kiberbiztonsági rései okozzák a legnagyobb károkat
- Nőnek a helyreállítási költségek az informatikai piacon
- A Kaspersky Private Security Network verzió gyorsítja a kibercsapdák észlelését
- A Kaspersky Private Security Network következő generációja
- A Kaspersky Lab ingyenes megoldása védi az okosotthonokat