自从我们上次报告在开发套件上,有一些新的发展与更广泛的采用Flash零日2月,以及包含了一个新的利用Internet Explorer.很长一段时间以来,我们还没有看到驾车出行领域的许多变化,尽管这些都是与恶意垃圾邮件活动密切相关的改进的结果利用嵌入在Microsoft Office中。
因为Flash和VBScript引擎都是可以用于网络攻击的软件,所以很自然地将它们集成到攻击工具包中。虽然ie浏览器已经不再年轻,cve - 2018 - 8174更新一个2年的漏洞(cve - 2016 - 0189),在一些驾车活动中仍在使用。就Flash而言,cve - 2018 - 4878已经被几乎所有的开发套件采用。在撰写本文时,一个更新的Flash漏洞(cve - 2018 - 5002)是可用的,但迄今为止没有在任何EK被发现。
钻井平台
RIG开发工具包仍然是野生环境中最常见的EK,有几个不同的活动在进行。钻井平台是首先包含了新的VBScript引擎漏洞(CVE-2018-8174)概念验证成为了公众可访问的,除此之外添加cve - 2018 - 4878.RIG已经推动了各种有效载荷,比如Bunitu,Ursnif,以及受欢迎的SmokeLoader.
GrandSoft
GrandSoft是一个只针对ie的开发工具,在较小范围的推广活动中被观察到,主要是通过在成人网站上的恶意广告。与它的对手相比,GrandSoft仍然依赖于旧的ie漏洞(CVE-2016-0189),并且没有我们通常在登录页面中看到的混淆。GrandSoft推出的一些有效载荷包括AZORult偷窃者.
级
以韩国为中心的开发套件在拥有一个GandCrab勒索软件.级添加闪光(cve - 2018 - 4878)继续集成IE的CVE-2018-8174在一个星期没有活动之后。凭借其自己的Magnigate过滤,base64编码的登陆页面和无文件有效载荷,量级是市场上更复杂的开发工具包之一。
GreenFlash日落
难以捉摸的“绿闪日落”继续通过泄露的OpenX广告服务器进行攻击。虽然它通常被看到分发爱马仕勒索软件,360全面安全观察到加密货币矿工通过几个中国网站运行易受攻击的OpenX版本。GF Sundown在这次攻击中使用的广告横幅,以及我们之前记录的一些,是一个韩语图片隐藏了cve - 2018 - 4878使用隐写术.
一个繁忙的2018年
毫无疑问,最近零日的涌入给开发套件带来了急需的推动力。我们注意到RIG EK活动的增加,这可能导致其运营商的成功负载高于通常情况。当攻击者集中在与Microsoft office相关的漏洞时,我们观察到了漏洞工具包的级联效应。
到目前为止,2018年比以往更忙,发现了几个直接适用的零日,我们可以期待在未来几个月看到更多。例如,我们已经目睹了连续的Flash零日,攻击者利用ActionScript漏洞。
缓解
我们测试了这些开发工具必威平台APP,多亏了我们的无签名反攻击引擎,它们都被屏蔽了:
本文引用的样本哈希值:
钻井平台
8ca1dedced7332aedc94291f8daa82e0837a1efc612b581dd13165b29f2a6dbb 21358acdeb60c456bc36b8e3481bf66cc5f4167d5994f097f71798341b9119fb 560031ac4c947b1e168704ca5e323bf00a801e2320e1f0fffe08392179d38391 ac1ff2b2a18931c17a9d0305ce72cc69c1688dfc2bdf4bf74aa9e27123bffd
GrandSoft
E659DD280514DD81BF8923315BD503E8781EB8CE7684F4888A838CF2A8B2ADF0
级(从内存中转储PE-Sieve)
9491年e8b30d37cb3bd0d206021ebe7396ca17be3c8fbed2ac6dce89d3ce0caa27
GreenFlash(从内存中转储PE-Sieve)
e600dec30c0f5080eab3d15f1210334429c3db0dd6a90f1e755709783ace6e85
评论