Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Hackersgroep gebruikt Flash-lek om FinFisher-malware te verspreiden'

Onderzoekers van beveiligingsbedrijf Kaspersky hebben een kwetsbaarheid in Flash ontdekt waarmee een hackersgroep de staatsmalware FinFisher verspreidde. Adobe heeft inmiddels een patch voor het lek uitgebracht.

Volgens Kaspersky werd FinFisher verspreid door middel van rtf-documenten. Door van de Flash-kwetsbaarheid met kenmerk CVE-2017-11292 gebruik te maken, haalden de bestanden de malware op systemen van doelwitten binnen. Het beveiligingsbedrijf schrijft de acties toe aan de hackersgroep BlackOasis, oftewel Neodymium. Deze zou inmiddels slachtoffers hebben gemaakt in onder meer Nederland, Rusland en het VK, naast verschillende landen in het Midden-Oosten en Afrika. De groep zou bijvoorbeeld geïnteresseerd zijn in de politiek in het Midden-Oosten, medewerkers van de Verenigde Naties en activisten.

Het gebruik van FinFisher was tot nu toe voornamelijk beperkt tot staten, meldt Kaspersky. De nieuwe bevindingen zouden erop duiden dat de malware ook door andere groepen wordt gebruikt en breder wordt ingezet. Bij de aangetroffen malware ging het om de meest recente variant, die maatregelen neemt om analyse te bemoeilijken. De exacte payload was niet meer op de betreffende command and control-server aanwezig, al troffen de onderzoekers verschillende FinFisher-varianten aan. BlackOasis zou de aanvallen met de malware zeer gericht en sporadisch uitvoeren.

Onlangs publiceerde ESET een analyse waarin het beweerde dat FinFisher werd verspreid door isp's in twee verschillende landen, zonder te vermelden welke landen. De kwaadaardige software wordt ontwikkeld door Gamma International, dat vestigingen in Duitsland en het VK heeft en onder het bedrijf Lench IT Solutions valt. De malware, ook wel bekend als FinSpy, is onder meer in staat om webcambeelden en toetsaanslagen vast te leggen, en bestanden van geïnfecteerde systemen te stelen.

Door

Nieuwsredacteur

48 Linkedin Google+

Reacties (48)

Wijzig sortering
dus eigenlijk heb je 2 antivirussen nodig kaperesky voor westerse virussen en symantec voor oosterse virussen en spyware.
Eigenlijk wel ja, ik draai Malwarebytes Anti-Malware, en ESET NOD32-AV letterlijk al jaren naast elkaar, en heb dankzij deze combinatie vrijwel nooit infecties over enkele honderden systemen, waarbij meerdere mensen gebruik maken van alles wat internet, email en social media te bieden heeft. Met jaren, bedoel ik langer dan 10 jaar. :*) _/-\o_
Ik bemerk met regelmaat, waar Malwarebytes faalt, komt ESET met een detectie, en ook andersom; waar ESET faalt, neemt Malwarebytes het roer over. Een echte aanvulling op elkaar dis.
Groeten van een zeer tevreden beheerder / gebruiker.

[Reactie gewijzigd door HoeZoWie op 17 oktober 2017 12:18]

Flash verwijderen van je systeem is in 99% van de gevallen een goede keuze.

Er is intussen lang genoeg een transitie-periode geweest. Content die nu niet over is naar HTML5 zal dit zondere verdere aansporing (afnemende gebruikersgroep) nooit meer gaan doen.

Als je per se nog Flash wilt: sandbox dedicated VM.
Pompidom
Ik daag je uit software te vinden met meer cve's ;)
OS-en tellen niet mee. Dat is niet ťťn software programma, maar een hele grote verzameling programma's met elk hun eigen mogelijke zwakheden.

OS-en kun je natuurlijk wel onderling met elkaar vergelijken.
Zolang je het bij ťťn onderdeel houdt, zoals de kernel, waarom niet. Dan mag je er wat mij betreft ook de Windows kernel in betrekken. ;)
Er staat letterlijk software. Staat totaal niets over programma's. :X
Natuurlijk. Maar het blijft appels met peren vergelijken.
Acrobat Reader, of telt dat niet omdat ze die met de dc versie in tweeŽn hebben gesplitst?
Aan allen hierboven: _/-\o_ _/-\o_ _/-\o_
Het punt is gemaakt, en het is super dat zovelen enthousiast geīnteresseerd zijn in security :)
Ondanks dat ik het uiteraard wel met je eens ben dat Flash op je computer hebben heden ten dage ongeveer overeenkomt met tongzoenen met een Ebola patiŽnt ga ik je uitdaging toch aan!

Volgens de Top 50 staat zowel Chrome als Firefox nog boven Flash! :)
(er staan nog een aantal OS ook boven, maar die tellen niet mee vermoed ik?)
Easy, zie Azziplekkus zijn antwoord, de browsers die jullie zo graag gebruiken en waar jullie het uit willen schakelen... :Y)
Dus Gamma International ontwikkeld in opdracht iets dergelijks. Deze opdrachtgever kan dus bijna niet anders dan een overheid zijn. Vervolgens zijn ISP’s betrokken bij de distributie. Wederom, overheid het meest waarschijnlijk.

Het wordt schaars en gericht ingezet, met als speciale interesse de politiek in het midden-oosten. Wederom een overheid. Wellicht meer dan ťťn zelfs.

Het is een digitale koude oorlog, waarbij een Russische partij deze specifieke aanval openbaart. Laten we hopen dat er niets escaleert verder, maar op dit decennium zal later in boeken en films worden teruggeblikt.

Edit; typo’s

[Reactie gewijzigd door ExIT op 16 oktober 2017 19:04]

Daarnaast zijn er wetten waarbij export naar bepaalde staten wordt verboden voor dergelijke software. Grote kans dus dat het landen betreft binnen de EU. En aangezien er vestigingen zijn in DE en VK is er een grote kans dat het land waar de vestiging is geplaatst ook de klant is.

@ExIT _/-\o_

[Reactie gewijzigd door mrdemc op 16 oktober 2017 21:20]

Laat ik voorop stellen dat ik hier geen verstand van heb, dus vergeet wat ik denk. Maar Duitsland is een schoothondje van de VS. De VK is onderdeel van de big five. Als de VS iets nodig heeft dan laten ze het vaak IsraŽl maken. Vakkundige jongens daar in 8200. “Olympic games” (stuxnet), ook hen werk, werd door Wit Rusland ontdekt. Kaspersky merkt FinFisher op. Noord-oosten valt ogenschijnlijk af. De hoek lijkt non-VS westers dus. Dat moet een behoorlijk niche interesse in informatie zijn als het VK of DE het niet via de VS kan krijgen. De apt32/promethium/neodynium groep lijkt van Turkse afkomst gezien hun verleden. Dit lijkt te stroken met de Europese aanbesteding en de niche interesse in het midden oosten. Afijn, my 2 cents.
En daarom staat bij mij flash uit en weiger ik chroom te gebruiken...
Wat heeft Google Chrome te maken met Flash...? Als ik het goed begrijp werkt dit door een .rtf bestand te openen, welke dan via Flash de malware binnen haalt. Als Flash dus op je systeem staat dan werkt het.

[Reactie gewijzigd door s1h4d0w op 16 oktober 2017 17:59]

In die zin dat er een flash speler standaard wordt meegeleverd. Maar in Chrome is dat Pepper Flash en geen Adobe Flash.
Adobe Flash wordt gebruikt in Internet Explorer, Firefox en Edge. In het geval van Edge, hoewel gebruik expliciet moet worden toegestaan, is Adobe Flash wel standaard geÔntegreerd. Het staat dus al op ieder z’n computer als Edge onderdeel.
Het gebruik van Chrome door @Theo.H had dus in dit geval juist een verstandigere keuze geweest. Aangezien in de andere browsers een Adobe plug-in gebruikt wordt voor Flash indien nodig.

[Reactie gewijzigd door mrdemc op 16 oktober 2017 20:14]

De reden dat flash door Microsoft meegeleverd (geīmplementeerd) wordt, is dat Microsoft het nodig vond juist de security ervan in eigen beheer te nemen. Het werd echt te erg :X
Ik gebruik nog altijd Windows 7. Windows 8.2 komt er bij mij niet in ;)
Naar mijn weten staat flash standaard uit in Chrome?
Naar mijn weten staat flash standaard uit in Chrome?
Flash staat inderdaad standaard uit in Chrome.
Soms is het wel handig even verder te kijken dan je neus lang is: https://www.security.nl/p...lek+in+Adobe+Flash+Player

Embedded Active X, wat niet door Adobe ontwikkeld is dacht ik, toch?
Vrij irrelevant aan hoe dit zich heeft verspreid maar ok
HTML5 gaat nog hťťťl groot worden! ;)
Bij mij ook. Met Chrome alles html.
Dat zeg ik, gamma :o
Ze gebruiken welke van de duizenden lekken in Flash player? Wat een nieuwtje zeg!
Er is een mega patch uitgekomen!

En echt, hij is makkelijk!
Je gooit flash van je computer :D
Opgelost! ;)
LOL, Fred Teeven wordt speurneus met eigen securitybedrijf lees ik net. En dat bonnetje was al veel te moeilijk voor hem.
Daarom is Kaspersky een goede keus, het detecteert ook malware die westerse overheden gebruiken. Daarom zullen de Amerikanen er nu ook wel een hekel aan hebben.
Maarja, zwijgt natuurlijk als er malware verspreid wordt door de russen...
Elke virus pakket bevat gaten, helaas maar waar. Sommige bevatten meer gaten anderen, en 2 maanden later is het soms andersom.

Maar elk pakket dat aantoonbaar virussen van een bepaalde herkomst doorlaat graaft z'n eigen commerciŽle graf.

En de diverse fabrikanten houden elkaar goed in de gaten. Overigens meestal als goede conculega's. Ze wisselen ook informatie uit (en niet maanden).

Als jouw stelling waar zou zijn, dan zouden alle anderen AV firma's dit van de daken roepen.
Daarom is Symantec een goede keus, het detecteert ook malware die Russische overheid gebruikt. Daarom zullen de Russen er nu ook wel een hekel aan hebben.
FTFY (Wat een onzinnige opmerking dus....)
Er is een verschil met leven in Rusland waarbij je antivirus Russische overheids malware doorlaat of ťťn die westerse overheids malware doorlaat.

Zo zou je een activist in Rusland eerder aanraden Symantec te installeren en een westerse activist Kaspersky.
Klopt, de opmerking is onzinnig. Maar even los van hoe hij het zegt, je snapt prima hoe hij het bedoeld...

Hoop ik.
Grappige reactie. Dus je vertrouwt Rusland meer dan USA? En dan vooral qua bedoelingen.

[Reactie gewijzigd door mpullens op 16 oktober 2017 17:59]

Dus je vertrouwt Rusland meer dan USA?
Beslist. De Russen kan het niks schelen dat ik illegaal Amerikaanse series download, de Amerikaanse politici die dikke stortingen voor hun campagne krijgen (ofwel gewoon omgekocht worden) wel.
En faciliteert vervolgens Russische malware. :+ Kapersky heeft inmiddels ook niet de beste reputatie op dit gebied dus of dit nou echt een goede keus is....

nieuws: 'IsraŽl waarschuwde VS dat Russische hackers via Kaspersky-software s...

[Reactie gewijzigd door Jay-B op 16 oktober 2017 18:02]

Analoog aan Trump zou ik zeggen: Fake News.
Ja hoor, wat van IsraŽl (USA nr. 2) komt moet je meteen vertrouwen...
Uiteraard, want 'democratie'.
</sarcasme>

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*