به نظر می رسد یک گروه مهاجم در خاورمیانه قرار دارد که از آسیب پذیری روز-صفرم ادوبی فلش پلیر استفاده می کند تا بخشی از نرم افزار جاسوسی را به افرادی که هدف قرار گرفته اند، ارائه دهد. گفته شده، آسیب پذیری فلش پلیر، که یک آسیب پذیری اجرای کد از را ه دور است و با شناسه CVE-2017-11292 شناسایی می شود، در روز دوشنبه توسط ادوبی وصله شد. محققان آزمایشگاه کسپرسکی، که حملات را شناسایی کرده و حفره امنیتی ادوبی را گزارش دادند، پست وبلاگی را منتشر کرده اند که جزئیات حملات را ارائه می دهد.
این گروه نفوذ با عنوان BlackOasis از آسیب پذیری CVE-2017-11292 در حملات بسیار هدفمند استفاده میکند، تا جاسوسافزار FinFisher، که یک ابزار ردیابی قانونی بحثبرانگیز مثل FinSpy و WingBir است، را ارائه دهد. کسپرسکی معتقد است که کشوری که از BlackOasis حمایت میکند احتمالا یکی از مشتریان Gamma Group، شرکتی پنهان در پشت FinFisher است.
در ماه گذشته، مایکروسافت یک آسیبپذیری روز-صفرم داتنت که توسط همان گروه مهاجم از طریق اسناد مخرب برای ارائه بدافزار FinFisher مورد بهرهبرداری قرار گرفته بود، را وصله کرد. این حمله، برای اولین بار توسط متخصصان FireEye مشاهده شد، اما کسپرسکی، براساس سرور دستور و کنترل (C&C) که توسط نفوذگران استفاده شده بود، این حمله را به حملات اخیر ارتباط داد.
از ماه ژوئن سال ۲۰۱۵ میلادی، این پنجمین آسیبپذیری روز-صفرم است که توسط آزمایشگاه کسپرسکی به گروه BlackOasis نسبت داده شده است. طبق گفتههای کسپرسکی، در این حملات، از آسیبپذیری CVE-2017-11292 که با ارائه یک سند آفیس مخرب از طریق رایانامه شروع میشود، استفاده میشود. این سند حاوی یک شیء ActiveX است که شامل بهرهبرداری فلش پلیر است.
محققان کسپرسکی تشریح کردند: «این بهرهبرداری یک آسیبپذیری خرابی حافظه است که در کلاس «com.adobe. tvsdk.mediacore. BufferControlParameters» وجود دارد. اگر این بهرهبرداری موفقیتآمیز باشد، به عملیات خواندن و نوشتن دلخواه در حافظه دسترسی مییابد و به این ترتیب اجازه میدهد تا شلکد مرحله دوم را اجرا کند.» مرحله دوم شلکد، آخرین نسخهی نرمافزارهای جاسوسی FinFisher را دانلود و اجرا میکند، و یک سند مخرب را که برای جلوگیری از افزایش سوءظن نمایش داده میشود را واکشی میکند. آخرین نسخهی نرمافزار جاسوسی شامل چندین قابلیت جدید است که تحلیل این تهدید را برای محققان سختتر میکند.
کسپرسکی گزارش داد که قربانیان BlackOasis در کشورهای روسیه، عراق، افغانستان، نیجریه، لیبی، اردن، تونس، عربستان سعودی، ایران، هلند، بحرین، انگلیس، و آنگولا دیده میشود. کسپرسکی گفت: «BlackOasis، یک گستره وسیعی از چهرههای درگیر در سیاستهای خاورمیانه و جنبشهای مربوط به منطقه را از جمله چهرههای برجسته سازمان ملل متحد، اپوزیسیون وبلاگنویسان و فعالان، و خبرنگاران منطقهای را شامل میشود. طی سال ۲۰۱۶ میلادی، ما علاقه شدیدی به آنگولا داشتیم، که نمونهای از اسناد محرمانه که نشاندهنده اهداف مرتبط با ارتباطات مشکوک نفتی، پولشویی و سایر فعالیتهای غیرقانونی است را ارائه میدهد. همچنین به فعالان و مخالفان بینالمللی نیز علاقهمند هستیم.»
مایکروسافت، که گروه BlackOasis را با عنوان NEODYMIUM دنبال میکند، در سال گذشته گزارش داد که مهاجم، از بهرهبرداری فلش پلیر برای ارائه بدافزار FinFisher استفاده میکند. بیش از ۸۰ درصد قربانیان، آن زمان در ترکیه شناسایی شدند.
