Utrecht, 16 oktober 2017 - Kaspersky Lab’s geavanceerde beveiligingsoplossing tegen indringers heeft een nieuwe zero day-exploit in Adobe Flash ontdekt, gebruikt in een aanval op 10 oktober door een cybergroep genaamd BlackOasis. De exploit wordt overgebracht via een Microsoft Word-document en implementeert de commerciële malware FinSpy. Kaspersky Lab heeft het lek gerapporteerd aan Adobe, die een patch heeft uitgebracht.
Volgens Kaspersky Lab hebben onderzoekers de zero day, CVE-2017-11292, tijdens een aanval ontdekt. Kaspersky Lab adviseert bedrijven en overheidsorganisaties om de update van Adobe onmiddellijk te installeren.
De onderzoekers denken dat de groep achter de aanval ook verantwoordelijk is voor CVE-2017-8759, een in september gerapporteerde zero day, en ze zijn er vrijwel zeker van dat de betrokken cyberaanvaller BlackOasis is, ook bekend als Neodymium, die Kaspersky Lab's Global Research and Analyse Team sinds 2016 op het spoor is.
Analyse wijst uit dat de FinSpy-malware – ook bekend als FinFisher – na succesvolle exploitatie van het beveiligingslek op de doelcomputer is geïnstalleerd. FinSpy is commerciële malware die meestal wordt verkocht aan soevereine staten en wetshandhavingsinstanties om toezicht te houden. In het verleden werd de malware meestal op nationaal niveau door ordehandhavers toegepast om lokale doelen te monitoren. BlackOasis, die de malware inzet tegen een breed scala aan doelen over de hele wereld, vormt hierop een belangrijke uitzondering. Dit lijkt te suggereren dat FinSpy nu wereldwijde operaties voedt, waarbij het ene land het tegen het andere gebruikt. Deze ‘wapenwedloop’ wordt gefaciliteerd door bedrijven die surveillancesoftware als FinSpy ontwikkelen.
De bij de aanval ingezette malware betreft de meest recente versie van FinSpy, uitgerust met meerdere anti-analysetechnieken om forensische analyse moeilijker te maken.
Na de installatie nestelt de malware zich in de aangevallen computer en stelt zich in verbinding met zijn command & control servers in Zwitserland, Bulgarije en Nederland om verdere instructies af te wachten en data te exfiltreren.
Op basis van het assessment van Kaspersky Lab strekt de belangstelling van BlackOasis zich uit tot een grote groep betrokkenen bij de politiek in het Midden-Oosten, onder wie prominente figuren binnen de Verenigde Naties, oppositiebloggers en activisten, evenals regionale nieuwscorrespondenten. Ze lijken ook geïnteresseerd te zijn in verschillende hiërarchische lagen die van bijzonder belang zijn voor de regio. In 2016 hebben de onderzoekers van het bedrijf toegenomen belangstelling voor Angola waargenomen, wat blijkt uit documenten die duiden op doelen met vermoedelijke banden met olie, witwasoperaties en andere activiteiten. Ook is er belangstelling voor internationale activisten en denktanks.
Tot nu toe zijn er slachtoffers van BlackOasis waargenomen in de volgende landen: Rusland, Irak, Afghanistan, Nigeria, Libië, Jordanië, Tunesië, Saoedi-Arabië, Iran, Nederland, Bahrein, Verenigd Koninkrijk en Angola.
"De aanval met de onlangs ontdekte zero-day-exploit is de derde FinSpy-distributie via zero-day-lekken die we dit jaar hebben gezien”, zegt Anton Ivanov, lead malware analyst bij Kaspersky Lab. “Voorheen maakten cybergroepen die deze malware inzetten misbruik van kwetsbaarheden in Microsoft Word en producten van Adobe. We voorzien een blijvende groei in het aantal aanvallen dat afhankelijk is van FinSpy-software met ondersteuning van dergelijke zero-day-exploits.”
Beveiligingsoplossingen van Kaspersky Lab detecteren en blokkeren exploits die gebruik maken van de onlangs ontdekte beveiligingslek.
Experts van Kaspersky Lab adviseren organisaties om de volgende maatregelen te nemen om hun systemen en data te beschermen tegen deze dreiging:
- Als het niet al is geïmplementeerd, gebruik dan de killbit-functie voor Flash-software en zet het voor zover mogelijk helemaal uit.
- Implementeer een geavanceerde, meerlaagse beveiligingsoplossing voor alle netwerken, systemen en endpoints.
- Zorg voor scholing en training van het personeel op het gebied van social engineering, aangezien deze methode vaak wordt toegepast om gebruikers kwaadaardige documenten te laten openen of op een geïnfecteerde link te laten klikken.
- Onderwerp de IT-infrastructuur regelmatig aan security assessments.
- Gebruik de Threat Intelligence van Kaspersky Lab om cyberaanvallen, incidenten of dreigingen op te sporen en houd klanten op de hoogte met relevante en actuele informatie. Meer informatie op intelreports@kaspersky.com .
Lees de blogpost op
securelist.com voor technische details, inclusief Indicators of Compromise (IoC) en YARA-regels.