Adobe Flash漏洞再次成為突破口

Morphisec實驗室表示，一名推特ID為“PhysicalDrive0”的安全研究人員在上周二發出警告稱，有黑客向香港一家電信公司的網站發起了網絡攻擊。

經過Morphisec實驗室研究員Michael Gorelik和Assaf Kachlon的調查確認，事實的確如此。攻擊者利用一個已知的Adobe Flash零日漏洞（CNNVD-201802-043、CVE-2018-4878）在該公司網站的主頁面上添加了一個嵌入式Adobe Flash文件。

根據相關信息顯示，CNNVD-201802-043、CVE-2018-4878漏洞最早是由韓國計算機應急響應小組（KR-CERT）發現的，而KR-CERT表示，來自朝鮮的黑客組織已經成功將這個漏洞運用到了實際攻擊活動中。

Adobe隨即在一周之內對這個漏洞完成了修復，并在其發布的公告中表示漏洞會影響到Flash Player 28.0.0.137以及之前的所有版本。

Morphisec指出，針對香港電信公司網站網絡攻擊可以說是一起典型的水坑攻擊（Watering Hole Attack）事件。這是一種常用的黑客攻擊方式之一，攻擊者首先會分析攻擊目標通常會訪問哪些網站，然后入侵這些網站并部署惡意軟件。在攻擊目標訪問這些網站時，會被重定向到惡意網址或觸發惡意軟件執行，導致攻擊目標所屬網絡系統中的其他成員同樣會遭到惡意軟件的感染。

Morphise進一步強調說，水坑攻擊從本質上講具備高度針對性，并且具備高度的隱匿性。在這起攻擊活動中，攻擊者沒有生產任何文件，也沒有在本地硬盤上留下的任何痕跡。另外，攻擊者還在沒有過濾端口（443端口）上使用了自定義協議與命令和控制（C&C）服務器進行通信。這一切都表明，事件背后的攻擊者應該是一個擁有先進技術的黑客組織。

研究人員解釋說，攻擊者在這起攻擊事件中利用的Flash漏洞與先前發布的CNNVD-201802-043、CVE-2018-4878分析報告中的描述具有高度相似性，主要區別在于之后執行的shellcode。

shellcode執行一個合法的Windows進程“rundll32.exe”，并用一段惡意代碼覆蓋其內存，而惡意代碼的目的將其他代碼直接下載到同一個rundll32進程的內存中。

攻擊者使用的模塊基于Github提供的最基本的Metasploit框架組件，并沒有被添加任何復雜性、混淆或逃避檢測機制，這會給研究人員對攻擊者來源的追查造成很大的困擾。