В начале февраля нынешнего года эксперты сообщили о новой критической уязвимости нулевого дня в Adobe Flash Player (CVE-2018-4878), активно эксплуатируемой хакерской группировкой APT37 (также известна как Reaper, Group123 и ScarCruft) в атаках против Южной Кореи.
Хотя Adobe выпустила корректирующее обновление Flash Player 28.0.0.161 спустя несколько дней после обнародования информации о проблеме, многие компании по-прежнему используют уязвимую версию продукта, чем и пользуются киберпреступники.
В частности, в конце февраля эксперты из компании Morphisec Labs зафиксировали масштабную операцию по распространению вредоносного ПО, в рамках которой злоумышленники используют эксплоит похожий на тот, что применялся в атаках APT37. Однако данный вариант не имеет 64-битной версии, указывают исследователи. В ходе кампании злоумышленники распространяют спам-сообщения, содержащие ссылку на документ Microsoft Word, расположенный на ресурсе storage[.]biz. Для просмотра контента загруженного документа жертве рекомендуется включить режим редактирования.
Если пользователь следует инструкции, вредоносный шелл-код запускает командную строку и подключается к домену атакующего. Затем на устройство загружается и с помощью утилиты Microsoft Register Server (regsvr32) исполняется DLL-библиотека. Вредоносные письма включали несколько коротких ссылок, созданных с помощью сервиса Google URL Shortener.
По оценкам исследователей, за 3-4 дня кампании переход по этим ссылкам осуществлялся десятки и сотни раз. «Как и ожидалось, злоумышленники быстро взяли на вооружение эксплоит для уязвимости в Adobe Flash Player. Слегка изменив атаку, они успешно запустили масштабную вредоносную кампанию и в очередной раз обошли большинство существующих статических сканеров», – отметил эксперт Morphisec Labs Майкл Горелик (Michael Gorelik).
Regsvr32 (Microsoft Windows Register Server) – системная утилита, предназначающаяся для регистрации и отмены регистрации элементов управления ActiveX, компонентов фильтров (кодеков) и компонентов библиотек DLL в системе Windows посредством внесения изменений в реестр.