更新(2018-02-06)Adobe已经发布了针对该漏洞的补丁。可获得更多信息在这里

我们用一个的证据的概念这是可用的。我们没有从Office内部启动它,而是把它变成了一个驱动下载攻击。下面的动画显示Malwarebytes正在阻止漏洞利必威平台APP用,当反漏洞保护模块被禁用时,我们可以看到计算器正在启动。

- - - - - - - - - - - -

在最近的有针对性的攻击中发现了新的Flash Player zero-day,如据KrCERT。该漏洞存在于Flash Player 28.0.0.137和更早的版本中,允许攻击者远程执行恶意代码。2月1日,Adobe发布了一个安全咨询承认这个零日:

Adobe获悉一份报告称,CVE-2018-4878漏洞已被广泛使用,并被用于针对Windows用户的有限的、有针对性的攻击。这些攻击利用嵌入了通过电子邮件分发的恶意Flash内容的Office文档。

威胁行为者使用一个诱饵微软Excel文档来引诱他们的目标(一些韩国用户),以便用名为ROKRAT的远程管理工具感染他们。虽然一开始并不明显,但一个ActiveX对象已经嵌入到文档中,并包含Flash漏洞。突出显示单元格显示一个小的白色矩形,表示嵌入的对象:

打开电子表格后,将通过GET请求联系几个韩国网站中的一个,该请求包含以下三个参数:

  • 一个惟一的标识符
  • Flash Player版本
  • 操作系统版本

这是一个重要的步骤,因为它检索用于解密恶意shell代码的密钥。

当我们可以访问这个样本的时候,托管它的网站已经关闭了,这被证明是开发和有效载荷的一大障碍。必威平台APP检测被丢弃的远程管理工具,并阻止已知承载密钥和有效负载的站点。

Adobe已经表示,它将在2月5日这一周的某个时候发布补丁。同时,建议用户禁用或卸载Flash Player。我们预计这个漏洞将被用于更大规模的攻击,包括通过恶意垃圾邮件。如有进一步进展,我们会及时通知您。

妥协的指标

1588 - 2040. -有限公司[]kr /设计/ m /图片/图像/ image.php吗?dylboiler.co。kr

主权财富基金利用

FEC71B8479F3A416FA58580AE76A8C731C2294C24663C601A1267E0E5C2678A0