Anfang Oktober entdeckte Kaspersky Lab eine gefährliche Zero-Day-Schwachstelle im Adobe Flash Player. Es ist mittlerweile bekannt, dass über diese Sicherheitslücke ein Einschleusen der FinFisher-Spyware möglich sein kann. FinFisher ist eine kommerzielle Spyware, auch bekannt als FinSpy. Strafverfolgungsbehörden und Regierungen in weltweit über 30 Ländern verwenden diese Überwachungssoftware.

Die in Adobe Flash nun gefundene Sicherheitslücke machte es einer Hackergruppe, die unter dem Namen BlackOasis-Gruppe bekannt ist möglich, derartige Spyware zu verbreiten. Die Gruppe zielt überwiegend auf politische Ziele, Aktivisten und Blogger im Mittleren Osten und auch auf die Vereinten Nationen ab. Kürzlich versteckte sie die FinFisher-Spyware in einem Microsoft Office-Dokument, die sich beim Öffnen des Dokuments selbstständig ausführte. BlackOasis war nachweislich an weiteren 5 Zero-Day-Fehlern seit 2015 beteiligt, die von dem Sicherheitsunternehmen FireEye aufgedeckt wurden. Diese Hacker-Gruppe ist gut finanziert und besteht aus Cyber-Kriminellen im Mittleren Osten.

Adobe selbst hat seine Nutzer schon über den Fehler informiert. Für den CVE-2017-11292 genannten Fehler, wurde ein Patch veröffentlicht.

Der Angriffsverlauf von BlackOasis

Zuerst wird den Opfern ein MS Office-Dokument in einer E-Mail zugestellt. Darin eingebettet ist ein ActiveX-Objekt, das die Flash-Schwachstelle enthält. Ein ActionScript extrahiert das Exploit mit einem benutzerdefinierten Entpacker. Bei dem Exploit handelt es sich um eine Speicherbeschädigung, die in der Klasse „com.adobe.tvsdk.mediacore.BufferControlParameters“ vorhanden ist. Wenn er erfolgreich ist, erhält er willkürliche Lese- bzw. Schreiboperationen innerhalb des Speichers, sodass er einen Shellcode in der zweiten Stufe ausführen kann. Gleichzeitig enthält das Programm Absicherungen, damit es nicht von Antiviren-Programmen entdeckt wird. Die Ausführungsdatei „mo.exe“ ist die neueste Version der FinSpy-Malware von Gamma International. Sie enthält viele zusätzliche Anti-Analyse-Techniken, die seine Entdeckung sehr erschweren.

Kaspersky ist der Ansicht, dass Angriffe, basierend auf FinFisher-Software und Zero-Day-Exploits weiter zunehmen werden. Schon zum zweiten Mal in einem Monat haben Hacker Sicherheitslücken für die Übermittlung von FinFisher-Spyware ausgenutzt. Im September musste Microsoft Patches für insgesamt 85 Fehler erstellen. Bei allen Fehlern sollte die FinFisher Malware durch einen Trick eingeschleust werden.

Artikel von securelist.com, 16.10.2017: BlackOasis APT and new targeted attacks leveraging zero-day exploit
Artikel von cyberscoop.com, 16.10.2017: Middle Eastern hacking group is using FinFisher malware to conduct international espionage
Artikel von thehill.com, 16.10.2017: State espionage group exploited Flash vulnerability: report

Beitragsbild: Riad, Hauptstadt von Saudi-Arabien, Urheberrecht: CC0 Creative Commons