Adobe Flash zero day maakt Nederlandse slachtoffers

Kaspersky Lab’s beveiligingsoplossing tegen indringers heeft een nieuwe zero day-exploit in Adobe Flash ontdekt, gebruikt in een aanval op 10 oktober door een cybergroep genaamd BlackOasis.

Trefwoorden: #BlackOasis, #cybercrime, #FinSpy, #Kaspersky Lab, #malware, #spyware

Lees verder

Nieuws

( Foto: Pixabay )

ENGINEERINGNET.NL - De exploit wordt overgebracht via een Microsoft Word-document en implementeert de commerciële malware FinSpy. Kaspersky Lab heeft het lek gerapporteerd aan Adobe, die een patch heeft uitgebracht.

Volgens Kaspersky Lab hebben onderzoekers de zero day, CVE-2017-11292, tijdens een aanval ontdekt. Kaspersky Lab adviseert bedrijven en overheidsorganisaties om de update van Adobe onmiddellijk te installeren.

De onderzoekers denken dat de groep achter de aanval ook verantwoordelijk is voor CVE-2017-8759, een in september gerapporteerde zero day, en ze zijn er vrijwel zeker van dat de betrokken cyberaanvaller BlackOasis is, ook bekend als Neodymium.

Analyse wijst uit dat de FinSpy-malware (ook bekend als FinFisher) na succesvolle exploitatie van het beveiligingslek op de doelcomputer is geïnstalleerd. FinSpy is commerciële malware die meestal wordt verkocht aan soevereine staten en wetshandhavingsinstanties om toezicht te houden.

In het verleden werd de malware meestal op nationaal niveau door ordehandhavers toegepast om lokale doelen te monitoren. BlackOasis, die de malware inzet tegen een breed scala aan doelen over de hele wereld, vormt hierop een belangrijke uitzondering. Dit lijkt te suggereren dat FinSpy nu wereldwijde operaties voedt, waarbij het ene land het tegen het andere gebruikt. Deze ‘wapenwedloop’ wordt gefaciliteerd door bedrijven die surveillancesoftware als FinSpy ontwikkelen.

De bij de aanval ingezette malware betreft de meest recente versie van FinSpy, uitgerust met meerdere anti-analysetechnieken om forensische analyse moeilijker te maken. Na de installatie nestelt de malware zich in de aangevallen computer en stelt zich in verbinding met zijn command & control servers in Zwitserland, Bulgarije en Nederland om verdere instructies af te wachten en data te exfiltreren.

Op basis van het assessment van Kaspersky Lab strekt de belangstelling van BlackOasis zich uit tot een grote groep betrokkenen bij de politiek in het Midden-Oosten, onder wie prominente figuren binnen de Verenigde Naties, oppositiebloggers en activisten, evenals regionale nieuwscorrespondenten.

Ze lijken ook geïnteresseerd te zijn in verschillende hiërarchische lagen die van bijzonder belang zijn voor de regio. In 2016 hebben de onderzoekers van het bedrijf toegenomen belangstelling voor Angola waargenomen, wat blijkt uit documenten die duiden op doelen met vermoedelijke banden met olie, witwasoperaties en andere activiteiten. Ook is er belangstelling voor internationale activisten en denktanks.

Tot nu toe zijn er slachtoffers van BlackOasis waargenomen in de volgende landen: Rusland, Irak, Afghanistan, Nigeria, Libië, Jordanië, Tunesië, Saoedi-Arabië, Iran, Nederland, Bahrein, Verenigd Koninkrijk en Angola.