'Hackersgroep gebruikt Flash-lek om FinFisher-malware te verspreiden'

Onderzoekers van beveiligingsbedrijf Kaspersky hebben een kwetsbaarheid in Flash ontdekt waarmee een hackersgroep de staatsmalware FinFisher verspreidde. Adobe heeft inmiddels een patch voor het lek uitgebracht.

Volgens Kaspersky werd FinFisher verspreid door middel van rtf-documenten. Door van de Flash-kwetsbaarheid met kenmerk CVE-2017-11292 gebruik te maken, haalden de bestanden de malware op systemen van doelwitten binnen. Het beveiligingsbedrijf schrijft de acties toe aan de hackersgroep BlackOasis, oftewel Neodymium. Deze zou inmiddels slachtoffers hebben gemaakt in onder meer Nederland, Rusland en het VK, naast verschillende landen in het Midden-Oosten en Afrika. De groep zou bijvoorbeeld geïnteresseerd zijn in de politiek in het Midden-Oosten, medewerkers van de Verenigde Naties en activisten.

Het gebruik van FinFisher was tot nu toe voornamelijk beperkt tot staten, meldt Kaspersky. De nieuwe bevindingen zouden erop duiden dat de malware ook door andere groepen wordt gebruikt en breder wordt ingezet. Bij de aangetroffen malware ging het om de meest recente variant, die maatregelen neemt om analyse te bemoeilijken. De exacte payload was niet meer op de betreffende command and control-server aanwezig, al troffen de onderzoekers verschillende FinFisher-varianten aan. BlackOasis zou de aanvallen met de malware zeer gericht en sporadisch uitvoeren.

Onlangs publiceerde ESET een analyse waarin het beweerde dat FinFisher werd verspreid door isp's in twee verschillende landen, zonder te vermelden welke landen. De kwaadaardige software wordt ontwikkeld door Gamma International, dat vestigingen in Duitsland en het VK heeft en onder het bedrijf Lench IT Solutions valt. De malware, ook wel bekend als FinSpy, is onder meer in staat om webcambeelden en toetsaanslagen vast te leggen, en bestanden van geïnfecteerde systemen te stelen.

IT-banen

Reacties (48)

Ludwig005 16 oktober 2017 18:42

dus eigenlijk heb je 2 antivirussen nodig kaperesky voor westerse virussen en symantec voor oosterse virussen en spyware.

HoeZoWie @Ludwig005 • 17 oktober 2017 12:16

Eigenlijk wel ja, ik draai Malwarebytes Anti-Malware, en ESET NOD32-AV letterlijk al jaren naast elkaar, en heb dankzij deze combinatie vrijwel nooit infecties over enkele honderden systemen, waarbij meerdere mensen gebruik maken van alles wat internet, email en social media te bieden heeft. Met jaren, bedoel ik langer dan 10 jaar.

$_/-\o_$
Ik bemerk met regelmaat, waar Malwarebytes faalt, komt ESET met een detectie, en ook andersom; waar ESET faalt, neemt Malwarebytes het roer over. Een echte aanvulling op elkaar dis.
Groeten van een zeer tevreden beheerder / gebruiker.

[Reactie gewijzigd door HoeZoWie op 23 juli 2024 12:12]

Keypunchie

Malware

16 oktober 2017 18:19

Flash verwijderen van je systeem is in 99% van de gevallen een goede keuze.

Er is intussen lang genoeg een transitie-periode geweest. Content die nu niet over is naar HTML5 zal dit zondere verdere aansporing (afnemende gebruikersgroep) nooit meer gaan doen.

Als je per se nog Flash wilt: sandbox dedicated VM.

Twanekel @Keypunchie • 17 oktober 2017 08:50

https://www.cvedetails.com/top-50-products.php?year=2017

Flash staat best laag, Android is wel dramatisch...

Bij 2016 staat flash wel hoger:
https://www.cvedetails.com/top-50-products.php?year=2016

the_stickie @Verwijderd • 16 oktober 2017 22:37

Pompidom
Ik daag je uit software te vinden met meer cve's

j1b2c3 @the_stickie • 17 oktober 2017 05:43

Windows

CivLord

@j1b2c3 • 17 oktober 2017 08:33

OS-en tellen niet mee. Dat is niet één software programma, maar een hele grote verzameling programma's met elk hun eigen mogelijke zwakheden.

OS-en kun je natuurlijk wel onderling met elkaar vergelijken.

HerrPino @CivLord • 17 oktober 2017 08:41

Telt de Linux kernel wel mee?

http://www.cvedetails.com...7/Linux-Linux-Kernel.html

CivLord

@HerrPino • 17 oktober 2017 08:46

Zolang je het bij één onderdeel houdt, zoals de kernel, waarom niet. Dan mag je er wat mij betreft ook de Windows kernel in betrekken.

j1b2c3 @CivLord • 17 oktober 2017 15:33

Er staat letterlijk software. Staat totaal niets over programma's.

CivLord

@j1b2c3 • 17 oktober 2017 15:39

Natuurlijk. Maar het blijft appels met peren vergelijken.

foaly @the_stickie • 16 oktober 2017 23:38

Acrobat Reader, of telt dat niet omdat ze die met de dc versie in tweeën hebben gesplitst?

the_stickie @foaly • 17 oktober 2017 12:51

Aan allen hierboven: $_/-\o_$ $_/-\o_$ $_/-\o_$
Het punt is gemaakt, en het is super dat zovelen enthousiast geīnteresseerd zijn in security

Opifex @the_stickie • 16 oktober 2017 23:57

Ondanks dat ik het uiteraard wel met je eens ben dat Flash op je computer hebben heden ten dage ongeveer overeenkomt met tongzoenen met een Ebola patiënt ga ik je uitdaging toch aan!

Volgens de Top 50 staat zowel Chrome als Firefox nog boven Flash!

(er staan nog een aantal OS ook boven, maar die tellen niet mee vermoed ik?)

Verwijderd @the_stickie • 17 oktober 2017 02:07

Easy, zie Azziplekkus zijn antwoord, de browsers die jullie zo graag gebruiken en waar jullie het uit willen schakelen...

ExIT 16 oktober 2017 18:15

Dus Gamma International ontwikkeld in opdracht iets dergelijks. Deze opdrachtgever kan dus bijna niet anders dan een overheid zijn. Vervolgens zijn ISP’s betrokken bij de distributie. Wederom, overheid het meest waarschijnlijk.

Het wordt schaars en gericht ingezet, met als speciale interesse de politiek in het midden-oosten. Wederom een overheid. Wellicht meer dan één zelfs.

Het is een digitale koude oorlog, waarbij een Russische partij deze specifieke aanval openbaart. Laten we hopen dat er niets escaleert verder, maar op dit decennium zal later in boeken en films worden teruggeblikt.

Edit; typo’s

[Reactie gewijzigd door ExIT op 23 juli 2024 12:12]

mrdemc @ExIT • 16 oktober 2017 20:06

Daarnaast zijn er wetten waarbij export naar bepaalde staten wordt verboden voor dergelijke software. Grote kans dus dat het landen betreft binnen de EU. En aangezien er vestigingen zijn in DE en VK is er een grote kans dat het land waar de vestiging is geplaatst ook de klant is.

@ExIT $_/-\o_$

[Reactie gewijzigd door mrdemc op 23 juli 2024 12:12]

ExIT @mrdemc • 16 oktober 2017 20:41

Laat ik voorop stellen dat ik hier geen verstand van heb, dus vergeet wat ik denk. Maar Duitsland is een schoothondje van de VS. De VK is onderdeel van de big five. Als de VS iets nodig heeft dan laten ze het vaak Israël maken. Vakkundige jongens daar in 8200. “Olympic games” (stuxnet), ook hen werk, werd door Wit Rusland ontdekt. Kaspersky merkt FinFisher op. Noord-oosten valt ogenschijnlijk af. De hoek lijkt non-VS westers dus. Dat moet een behoorlijk niche interesse in informatie zijn als het VK of DE het niet via de VS kan krijgen. De apt32/promethium/neodynium groep lijkt van Turkse afkomst gezien hun verleden. Dit lijkt te stroken met de Europese aanbesteding en de niche interesse in het midden oosten. Afijn, my 2 cents.

Theo.H 16 oktober 2017 17:42

En daarom staat bij mij flash uit en weiger ik chroom te gebruiken...

lepel @Theo.H • 16 oktober 2017 17:58

Wat heeft Google Chrome te maken met Flash...? Als ik het goed begrijp werkt dit door een .rtf bestand te openen, welke dan via Flash de malware binnen haalt. Als Flash dus op je systeem staat dan werkt het.

[Reactie gewijzigd door lepel op 23 juli 2024 12:12]

mrdemc @lepel • 16 oktober 2017 20:13

In die zin dat er een flash speler standaard wordt meegeleverd. Maar in Chrome is dat Pepper Flash en geen Adobe Flash.
Adobe Flash wordt gebruikt in Internet Explorer, Firefox en Edge. In het geval van Edge, hoewel gebruik expliciet moet worden toegestaan, is Adobe Flash wel standaard geïntegreerd. Het staat dus al op ieder z’n computer als Edge onderdeel.
Het gebruik van Chrome door @Theo.H had dus in dit geval juist een verstandigere keuze geweest. Aangezien in de andere browsers een Adobe plug-in gebruikt wordt voor Flash indien nodig.

[Reactie gewijzigd door mrdemc op 23 juli 2024 12:12]

the_stickie @mrdemc • 16 oktober 2017 22:43

De reden dat flash door Microsoft meegeleverd (geīmplementeerd) wordt, is dat Microsoft het nodig vond juist de security ervan in eigen beheer te nemen. Het werd echt te erg

Theo.H @mrdemc • 17 oktober 2017 14:11

Ik gebruik nog altijd Windows 7. Windows 8.2 komt er bij mij niet in

Koen Hendriks @Theo.H • 16 oktober 2017 18:14

Naar mijn weten staat flash standaard uit in Chrome?

Meg

@Koen Hendriks • 16 oktober 2017 18:33

Naar mijn weten staat flash standaard uit in Chrome?

Flash staat inderdaad standaard uit in Chrome.

Verwijderd @Theo.H • 17 oktober 2017 03:41

Soms is het wel handig even verder te kijken dan je neus lang is: https://www.security.nl/p...lek+in+Adobe+Flash+Player

Embedded Active X, wat niet door Adobe ontwikkeld is dacht ik, toch?

smiba @Theo.H • 16 oktober 2017 17:47

Vrij irrelevant aan hoe dit zich heeft verspreid maar ok

ToolBee @Theo.H • 16 oktober 2017 21:00

HTML5 gaat nog hééél groot worden!

desalniettemin @Theo.H • 16 oktober 2017 23:15

Bij mij ook. Met Chrome alles html.

_XipHiaS_ 16 oktober 2017 18:29

Dat zeg ik, gamma

Verwijderd 16 oktober 2017 22:45

Ze gebruiken welke van de duizenden lekken in Flash player? Wat een nieuwtje zeg!

Verwijderd 17 oktober 2017 08:20

Er is een mega patch uitgekomen!

En echt, hij is makkelijk!
Je gooit flash van je computer

Opgelost!

Wasabi! 17 oktober 2017 09:33

LOL, Fred Teeven wordt speurneus met eigen securitybedrijf lees ik net. En dat bonnetje was al veel te moeilijk voor hem.

Verwijderd 16 oktober 2017 17:51

Daarom is Kaspersky een goede keus, het detecteert ook malware die westerse overheden gebruiken. Daarom zullen de Amerikanen er nu ook wel een hekel aan hebben.

SuperDre @Verwijderd • 16 oktober 2017 19:12

Maarja, zwijgt natuurlijk als er malware verspreid wordt door de russen...

Luno @SuperDre • 16 oktober 2017 19:50

Elke virus pakket bevat gaten, helaas maar waar. Sommige bevatten meer gaten anderen, en 2 maanden later is het soms andersom.

Maar elk pakket dat aantoonbaar virussen van een bepaalde herkomst doorlaat graaft z'n eigen commerciële graf.

En de diverse fabrikanten houden elkaar goed in de gaten. Overigens meestal als goede conculega's. Ze wisselen ook informatie uit (en niet maanden).

Als jouw stelling waar zou zijn, dan zouden alle anderen AV firma's dit van de daken roepen.

ronaldvr @Verwijderd • 16 oktober 2017 17:56

Daarom is Symantec een goede keus, het detecteert ook malware die Russische overheid gebruikt. Daarom zullen de Russen er nu ook wel een hekel aan hebben.

FTFY (Wat een onzinnige opmerking dus....)

jerrycan92 @ronaldvr • 16 oktober 2017 18:18

Er is een verschil met leven in Rusland waarbij je antivirus Russische overheids malware doorlaat of één die westerse overheids malware doorlaat.

Zo zou je een activist in Rusland eerder aanraden Symantec te installeren en een westerse activist Kaspersky.

Verwijderd @ronaldvr • 16 oktober 2017 19:18

Klopt, de opmerking is onzinnig. Maar even los van hoe hij het zegt, je snapt prima hoe hij het bedoeld...

Hoop ik.

mrme12345

@Verwijderd • 16 oktober 2017 17:59

Grappige reactie. Dus je vertrouwt Rusland meer dan USA? En dan vooral qua bedoelingen.

[Reactie gewijzigd door mrme12345 op 23 juli 2024 12:12]

Verwijderd @mrme12345 • 16 oktober 2017 19:24

Dus je vertrouwt Rusland meer dan USA?

Beslist. De Russen kan het niks schelen dat ik illegaal Amerikaanse series download, de Amerikaanse politici die dikke stortingen voor hun campagne krijgen (ofwel gewoon omgekocht worden) wel.