Een nieuwe zero day-exploit in Adobe Flash is ontdekt. Het beveiligingslek is gebruikt in een cyberaanval die op 10 oktober door een cybergroep genaamd BlackOasis is uitgevoerd. Het lek wordt uitgebuit via een malafide Microsoft Word-document en wordt daarnaast gebruikt in de commerciële malware FinSpy.
Kaspersky Lab meldt dat het om een ’zero-day’ kwetsbaarheid (CVE-2017-11292) gaat. Een zero-day is een beveiligingslek dat nog niet eerder is aangetroffen en dus nog nul dagen bekend is. Dit betekent in de praktijk dat er nog geen update beschikbaar is waarmee het beveiligingslek gedicht is. Kaspersky Lab adviseert bedrijven en overheidsorganisaties om de update van Adobe onmiddellijk te installeren.
De kwetsbaarheid is ontdekt bij het analyseren van een cyberaanval. De onderzoekers denken dat deze aanval het werk is van een groep cybercriminelen die ook verantwoordelijk is voor het misbruiken van CVE-2017-8759. Dit is een zero-day kwetsbaarheid die in september werd gerapporteerd. De onderzoekers stellen vrijwel zeker te weten dat deze groep cybercriminelen ‘BlackOasis’ is. Deze groepering wordt ook wel Neodymium genoemd en werd in 2016 door het Kaspersky Lab's Global Research and Analyse Team ontdekt.
Bij deze aanval werd de FinSpy-malware, die ook bekend staat als FinFisher, geïnstalleerd op het aangevallen systeem. FinSpy is commerciële malware die meestal wordt verkocht aan soevereine staten en wetshandhavingsinstanties, die de software gebruiken om toezicht te houden. In het verleden werd de malware meestal op nationaal niveau door ordehandhavers toegepast om lokale doelen te monitoren. BlackOasis, die de malware inzet tegen een breed scala aan doelen over de hele wereld, vormt hierop een belangrijke uitzondering. Dit lijkt te suggereren dat FinSpy nu wereldwijde operaties voedt, waarbij het ene land het tegen het andere gebruikt. Deze ‘wapenwedloop’ wordt gefaciliteerd door bedrijven die surveillancesoftware als FinSpy ontwikkelen.
De bij de aanval ingezette malware betreft de meest recente versie van FinSpy, uitgerust met meerdere anti-analysetechnieken om forensische analyse moeilijker te maken. Na de installatie nestelt de malware zich in de aangevallen computer en stelt zich in verbinding met zijn command & control servers in Zwitserland, Bulgarije en Nederland om verdere instructies af te wachten en data te exfiltreren.
Kaspersky Lab meldt dat BlackOasis zich richt op het aanvallen van een grote groep betrokkenen bij de politiek in het Midden-Oosten, onder wie prominente figuren binnen de Verenigde Naties, oppositiebloggers en activisten, evenals regionale nieuwscorrespondenten. Ook lijkt de groep geïnteresseerd te zijn in verschillende hiërarchische lagen die van bijzonder belang zijn voor de regio. In 2016 hebben de onderzoekers van het bedrijf toegenomen belangstelling voor Angola waargenomen, wat blijkt uit documenten die duiden op doelen met vermoedelijke banden met olie, witwasoperaties en andere activiteiten. Ook is er belangstelling voor internationale activisten en denktanks.
Tot nu toe zijn er slachtoffers van BlackOasis waargenomen in de volgende landen: Rusland, Irak, Afghanistan, Nigeria, Libië, Jordanië, Tunesië, Saoedi-Arabië, Iran, Nederland, Bahrein, Verenigd Koninkrijk en Angola.
"De aanval met de onlangs ontdekte zero-day-exploit is de derde FinSpy-distributie via zero-day-lekken die we dit jaar hebben gezien”, zegt Anton Ivanov, lead malware analyst bij Kaspersky Lab. “Voorheen maakten cybergroepen die deze malware inzetten misbruik van kwetsbaarheden in Microsoft Word en producten van Adobe. We voorzien een blijvende groei in het aantal aanvallen dat afhankelijk is van FinSpy-software met ondersteuning van dergelijke zero-day-exploits.”
Beveiligingsoplossingen van Kaspersky Lab detecteren en blokkeren exploits die gebruik maken van de onlangs ontdekte beveiligingslek. Experts van Kaspersky Lab adviseren organisaties om de volgende maatregelen te nemen om hun systemen en data te beschermen tegen deze dreiging:
Meer informatie is te vinden in de blogpost van Kaspersky Lab op securelist.com.