Adobe ออกแพตช์เร่งด่วนอุดช่องโหว่ Zero-Day บน Flash Player หลังพบถูกใช้ในรัสเซีย

Qihoo 360 ทีมผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจากจีนและ Gigamon ผู้ให้บริการโซลูชันด้านเครือข่ายได้ตรวจพบการโจมตีแบบ APT ที่ใช้ช่องโหว่บน Flash Player เกิดขึ้นกับคลีนิกเสริมความงามแห่งหนึ่งในรัสเซียที่มีลูกจ้างระดับสูงของสหภาพโซเวียตเข้าไปใช้บริการจึงคาดว่าน่าจะเป็นประเด็นทางการเมือง โดยการโจมตีครั้งนี้ถูกเรียกว่า “Operation Poison Needles”

credit : Bleepingcomputer

ไอเดียคือหลังจากคนร้ายเลือกเหยื่อแล้วจะส่งแบบสอบถามลูกจ้างที่คนร้ายได้ปลอมขึ้นมาชื่อ ’22.docx’ ผ่านทางอีเมลไปหาเหยื่อซึ่งภายในจะมีไฟล์ rar ที่บรรจุไฟล์สำหรับใช้งานช่องโหว่ Flash อีกที โดย Word เองก็มีการแจ้งเตือนแล้วว่า “ไฟลฺ์ที่ฝังมาในเอกสารนี้อาจไม่ปลอดภัย” แต่หากเหยื่อกดดำเนินงานต่อจะทำให้เกิดการ Execute Code (ตามรูปด้านล่าง) ในไฟล์ชื่อ backup.exe ที่ทำตัวเนียนเป็นแอปพลิเคชันของ Nvidia อีกทั้งยังได้มีการใช้ Certificate ที่ถูกขโมยมาและถูกเรียกคืนไปแล้วด้วย นอกจากนี้ผู้เชี่ยวชาญเผยว่า backup.exe จะมีการทำสำเนาตัวเองไปยัง Path : %LocalAppData%\NVIDIAControlPanel\NVIDIAControlPanel.exe และยังส่งข้อมูลคอมพิวเตอร์พร้อมกับแอปพลิชันที่ติดตั้งบนเครื่องนั้นกลับไปหาคนร้ายได้ด้วย รวมถึงยังทำการดาวน์โหลดและรัน Shell Code บนเครื่องด้วย

credit : Bleepingcomputer

หมายเลขอ้างอิงช่องโหว่ครั้งนี้คือ CVE-2018-15982 และเลขอ้างอิงของ Adobe เองคือ APSB18-42 โดยช่องโหว่มีผลกระทบกับ Flash Player เวอร์ชันก่อนหน้าจนถึง 31.0.0.153 ดังนั้นผู้ใช้งานควรเข้าไปอัปเดตได้ทันที นอกจากนี้การแพตช์ครั้งข้างต้นยังได้มีการอุตช่องโหว่ DLL Hijacking ที่แฮ็กเกอร์สามารถโหลด DLL อันตรายตอนเริ่มรัน Flash Player ได้ด้วย สามารถอ่านรายงานฉบับเต็มของ Qihoo และ Gigamon 

ที่มา : https://www.bleepingcomputer.com/news/security/adobe-fixes-zero-day-flash-player-vulnerability-used-in-apt-attack-on-russia/ และ https://www.scmagazine.com/home/security-news/adobe-fixes-zero-day-flash-bug-after-attackers-target-russian-clinic-with-exploit/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

NASA เกิดเหตุ Data Breach ข้อมูลพนักงานกว่า 17,300 คนอาจรั่วสู่ภายนอก

NASA ออกแถลงการณ์ยืนยันเกิดเหตุ Data Breach ซึ่งส่งผลกระทบต่อข้อมูลของพนักงานทั้งในอดีตและปัจจุบันรวมแล้วกว่า 17,300 ราย หลังจากพบว่ามีเซิร์ฟเวอร์ไม่น้อยกว่า 1 เครื่องของเอเจนซี่ถูกแฮ็ก

Cisco Talos เผย 3 กลุ่มแฮ็กเกอร์ที่มุ่งเจาะบริการระดับองค์กรเพื่อทำ Cryptomining

Cisco Talos ได้ทำรายงานศึกษาเจาะลึกถึงกลุ่มอาชญากรทางไซเบอร์ที่มุ่งเน้นเจาะระบบบริการระดับองค์ เช่น Jenkins, Hadoop, Jboss และ Struts2 เพื่อทำการแอบขุดเหมืองเงินดิจิทัล โดยแบ่งเป็น 3 กลุ่มหลักคือ Rocke, 8220 …