Flash-эксплойт от hacking team использован против правительства США

Unit42, исследовательский центр Palo Alto Networks, с помощью платформы анализа угроз AutoFocus локализовал вредоносную активность, которая распространялась с помощью фишинга, и была направлена против правительства США. Злоумышленники использовали уязвимость нулевого дня в Adobe Flash, о которой стало известно в ходе утечки данных Hacking Team.

Фишинговые атаки использовали ссылку на эксплойт Adobe Flash, размещенную на двух суб-доменах легитимного веб-сайта perrydale[.]com:, rpt.perrydale[.]com и report.perrydale[.]com, которые вели на один и тот же украинский IP-адрес 194.44.130.179. Местом нахождения Flash-эксплойта CVE-2015-5119, обнародованного в ходе взлома Hacking Team, были два адреса — rpt.perrydale[.]com/en/show.swf и report.perrydale[.]com/ema/show.swf.

Успешное использование уязвимости приводит к заражению жертвы и загрузки дополнительной части вредоносного кода — payload-а «b.gif», который размещался там же, где и эксплойт. Анализ вредоносных Flash-файлов показал, что атака подобна предыдущим работам APT-группы известной под именем UPS или APT3, которая использовала в свое время неизвестный эксплойт CVE-2015-3113.

Вредоносный Flash-файл «show.swf» содержит ActionScript, который эксплуатирует уязвимость и выполняет запуск shell-кода для установки вредоноса. Файл show.swf состоит из следующих классов:

• MainClass.as
• MyClass.as
• MyClass1.as
• MyClass2.as
• MyUtils.as
• ShellWin32.as

Предварительный анализ имен классов выявил сходство с одним из обнародованных эксплойтов нулевого дня Adobe Flash, раскрытых после атаки на Hacking Team.
Сравнивая классы, которые ассоциировались с этими уязвимостями, исследовательский центр Palo Alto Networks обнаружил, что MyClass.as, MyClass1.as, MyClass2.as, MyUtils.as и ShellWin32.as были общими как у вредоноса show.swf, так и в Flash-эксплойтах Hacking Team. Кроме того, есть несколько записей в логах и названия функций с переменными, которые идентичны содержанию классов в ActionScript разработанным группой UPS. Наибольшее сходство несет в себе функция “TryExpl” (MyClass.as), где одни и те же значения переменных запрограммированы для создания условий эксплуатации CVE-2015-5119 уязвимости. На Рис.1. показана часть кода функции “TryExpl”.

Рис. 1. Функция “TryExpl”

Пока анализировалась часть MainClass, из файла show.swf, исследователи из Unit42 обратили внимание на наличие функций из предыдущей целенаправленной атаки проведенной группой UPS с помощью эксплойта, который раньше тоже являлся неизвестным - CVE-2015-3113, его ActionScript можно посмотреть по ссылке: https://gist.github.com/mak/bd71962aae98ab0b0441

Имена общих функций, приведенных ниже, включают в себе код, используемый для манипуляций с типами данных, логирования, дешифрации и выполнения shell-кода в случае успешной эксплуатации уязвимости:

• decode
• hexToIntArray
• logMsg
• func_prepare
• hexToBin

Также в ActionScript-ах в обоих атаках используется одинаковая переменная «m_scKey» — она хранит в себе RC4-ключ, который используется для расшифровки shell-кода.

Когда Flash-уязвимость успешно эксплуатируется — выполняется shell-код, который извлекает и расшифровывает payload, встроенный в анимированное gif-изображение. В ходе анализа Unit42 не удалось получить вторую часть payload-а – «b.gif», полученный файл оказался не «боеспособным». Возможно это связанно с тем, что группа UPS обслуживала свои вредоносные payload-ы перед непосредственным запуском атаки на интересующие их жертвы.

Техника размещения payload-а, встроенного в gif-изображение, идентична shell-коду 5119 и 3113. Более того, в них используется один и тот же алгоритм и ключевые значения для дешифрации. В процессе параллельного сравнения двух shell-кодов обнаружилось только одно отличие – в 5119 есть дополнительная команда, подчеркнутая на Рис.2:

Рис. 2. shell-код 5119 и 3113

Эти примеры показывают, как продвинутые APT-группы, такие как UPS, могут быстро использовать новые уязвимости в своих целенаправленных атаках. Учитывая те факторы, что либо патчи для закрытия уязвимости зачастую доступны уже после проведения атаки, либо организации не обновили вовремя свое программное обеспечение – традиционные методы обнаружения не справляются с задачей эффективной защиты. Выходом из такой ситуации является разворачивание полностью автоматизированной, поведенчески-превентивной системы, которая сможет снизить риски от целенаправленных атак на бизнес-процессы.