Une faille zero-day Adobe Flash utilisée pour répandre des spywares

0

Le système avancé de prévention des exploits de Kaspersky Lab a identifié un nouvel exploit zero-day Adobe Flash, utilisé dans une attaque le 10 octobre dernier par un acteur connu sous le nom de BlackOasis. L’exploit est délivré via un document Microsoft Word et déploie le malware commercial FinSpy. Kaspersky Lab a informé Adobe de cette vulnérabilité, qui a été corrigée par un patch.

Selon les chercheurs de Kaspersky Lab, la faille zero-day, qu’on a déjà analysé CVE-2017-11292, a été repérée dans des attaques en cours. Ils conseillent aux entreprises et organisations gouvernementales d’installer la mise à jour Adobe immédiatement.

Les chercheurs de Kaspersky Lab pensent que le groupe derrière cette attaque est également responsable d’un autre zero-day, CVE-2017-8759, découvert en septembre – ils sont convaincus que l’acteur impliqué est BlackOasis, que l’équipe internationale de recherche et d’analyse de Kaspersky Lab (GReAT – Global Research and Analysis Team) a commencé à surveiller en 2016.

« Cette attaque, qui repose sur un exploit zero-day récemment découvert, marque la troisième fois cette année que nous observons FinSpy se déployer en utilisant des vulnérabilités zero-day. Auparavant, les acteurs exploitant ce malware abusaient des problèmes critiques dans Microsoft Word et les produits Adobe. Nous pensons que le nombre d’attaques utilisant le logiciel FinSpy et reposant sur des exploits zero-day comme celui décrit aujourd’hui va continuer d’augmenter, » explique Anton Ivanov, Lead Malware Analyst chez Kaspersky Lab.

Les analyses révèlent que, une fois la vulnérabilité exploitée avec succès, le malware FinSpy (aussi appelé FinFisher) est installé sur l’ordinateur cible. FinSpy est un malware commercial, qui est typiquement vendu aux états-nations et agences chargées de l’application de la loi pour conduire des actions de surveillance. Par le passé, le malware était principalement utilisé par les agences chargées de l’application de la loi sur leur marché domestique, pour surveiller des cibles locales.

Une exception

BlackOasis est une exception, car utilisée contre un grand nombre de cibles partout dans le monde. Cela semble suggérer que FinSpy est maintenant exploité dans le cadre d’opérations internationales de surveillance, au profit d’un pays contre un autre. La course aux cyber armes est rendue possible par les entreprises qui développent des logiciels de surveillance, à l’image de FinSpy.

Le malware utilisé dans le cadre de cette attaque est équipé de multiples techniques qui rendent son analyse plus difficile par les spécialistes. Ainsi, après installation, le malware trouve un point d’appui sur l’ordinateur attaqué et il y connecte ses serveurs de commande et de contrôle, situés en Suisse, en Bulgarie et aux Pays-Bas, dans l’attente de nouvelles instructions et pour exfiltrer des données.

Les intérêts de BlackOasis sont variés

Selon les conclusions de Kaspersky Lab, les intérêts de BlackOasis sont variés. Le groupe a plusieurs cibles: parmi lesquels on peut trouver aussi bien des personnalités impliquées dans la politique du Moyen-Orient, que des figures des Nations Unies, des bloggeurs d’opposition et des activistes, ainsi que des journalistes correspondants régionaux. Il semble également s’intéresser à des marchés verticaux ayant une importance particulière dans la région.

En 2016, les chercheurs de Kaspersky Lab avaient observé que le groupe s’intéressait plus spécifiquement à l’Angola, comme l’illustraient les documents utilisés pour attirer les cibles, qui abordaient des questions liées au pétrole, au blanchiment d’argent et à d’autres activités. Les activistes internationaux et les think tanks sont également visés.

Pour le moment, Kaspersky Lab a recensé des victimes de BlackOasis en Russie, Iraq, Afghanistan, Nigeria, Libye, Jordanie, Tunisie, Arabie Saoudite, Iran, Pays-Bas, Bahreïn, Royaume-Unis et Angola.

Les experts de Kaspersky Lab recommandent aux entreprises de protéger leurs systèmes et leurs données en prenant les mesures suivantes :

  • Si elle n’est pas déjà implémentée, utiliser la fonctionnalité killbit du logiciel Flash, et lorsque c’est possible, la désactiver complètement.
  • Mettre en place une solution de sécurité multicouches avancée qui protège tous les réseaux, les systèmes et les points d’entrée.
  • Sensibiliser et former le personnel aux tactiques de social engineering car cette méthode est souvent utilisée pour inciter les victimes à ouvrir des documents malveillants ou cliquer sur un lien infecté.
  • Conduire des audits de sécurité réguliers.

About Author

Globb Security France

Leave A Reply