Популярный сайт ведет к Angler EK & CVE-2015-8651 Flash Player Exploit

На этой неделе Forcepoint Security Labs ™ определили, что сайт известной транспортной компании был взломан. Мы обнаружили, что он перенаправляет пользователей в Angler Exploit Kit (EK). Forcepoint проинформировала компанию, которая быстро ответила и решила проблему. Пользователи, просматривающие сайт, подвергались воздействию вредоносных программ, которые незаметно сбрасывались в их систему и выполнялись в фоновом режиме. Когда мы проанализировали заражение, мы увидели, что пользователи перенаправляются на Angler EK, который затем использовал CVE-2015-8651, затрагивая версии Adobe Flash Player до 20.0.0.228 и 20.0.0.235.

Данный веб-сайт принадлежит транспортной компании, которая очень популярна в Европе, чье имя мы отредактировали из-за того, что мы помогаем в проведении текущих расследований. Сайт использует Joomla, который не привыкать уязвимости и атаки в дикой природе, но мы не знаем, был ли сайт скомпрометирован из-за атаки на их установку Joomla или нет.

рис 1. Внедренный код на взломанный сайт

Код, внедренный в веб-сайт в этом случае, был очень большим фрагментом запутанного кода, фрагмент которого можно увидеть на рисунке 1 . Целью кода было перенаправить пользователей в набор эксплойтов, известный как Angler EK, и мы видим, что этот тип кода внедряется в сотни веб-сайтов ежедневно. Актеры, стоящие за кодом, иногда перенаправляют пользователей в Neutrino EK на несколько дней, как они это делали в начале января, но они почти всегда ведут к Angler.

рис 2. Активность Энглера Е.К. в январе

Цепочка заражения была следующей, упрощенной, чтобы показать только значимые запросы в цепочке:

Взломанный сайт: hxxp: //www.**redacted**.com/de/

-> Целевая страница Angler EK: hxxp: //fbendservent-gratulabitur.brotherhoodmc [.] Org /boards / index.php?

-> Angler EK Flash Exploit (CVE-2015-8651): hxxp: //fbendservent-gratulabitur.brotherhoodmc [.] Org / Similar.jsf?

-> Angler EK CryptoWall 4.0: полезная нагрузка: hxxp: //fbendservent-gratulabitur.brotherhoodmc [.] Org / прежний. Xhtm?

-> CryptoWall 4.0: управление и контроль: hxxp: // yardstickglobal [.] In / Y37Jux.php?

рис 3. Angler EK, запрашивающий эксплойт SWF

Эксплуатация Adobe Flash Player, использованная в этой атаке, позволила использовать новейшую уязвимость CVE-2015-8651, о которой недавно писал Kafeine. в своем блоге , Нам удалось декомпилировать эксплойт, который нам дал Angler EK, и определили процедуру, которая запускает уязвимость:

Рисунок 4. Триггер эксплойта Angler EK CVE-2015-8651

Antiy Labs написал хороший блог о том, как работает CVE-2015-8651, что по существу является уязвимостью целочисленного переполнения.

Angler EK в настоящее время является единственным коммерческим набором эксплойтов, использующим эту уязвимость, в то время как другие EK, такие как Neutrino, Nuclear и RIG, используют эксплойты для более старых уязвимостей Flash. Версии Flash Player до 20.0.0.228 и 20.0.0.235 включительно подвержены влиянию CVE-2015-8651. Adobe исправила уязвимость начиная с версии 20.0.0.270.

SHA1 образца, с которым мы столкнулись, это 918efa4d30ad6018c7b7c7a66d701a3d122dfeac, и мы также загрузили распакованный SWF VirusTotal для других исследователей для анализа.

В цепочке заражения, которую мы проанализировали, вымогатель CryptoWall 4.0 был загружен и запущен на нашей машине. Мы не будем вдаваться в подробности о CryptoWall 4.0 в этом блоге, который был тщательно документированный в последние месяцы

Прокси-серверы командования и управления, полученные нами из примера CryptoWall ( 6af2aa305bc7da913ece5a5c98b214f3dae63738 ), перечислены ниже:

hxxp: //premierdisneyvilla.com/QXeHOy.php hxxp: //thebeautythesis.com/UaEigq.php hxxp: //wallpapersau.net/igrHKY.php hxxp: //neoad.de/NXy1mb.php hxxp: // jlprotect. ca / _poxuV.php hxxp: //dunwoodypress.com/DJHMXS.php hxxp: //zolty.eu/bnFKET.php hxxp: //behejbrno.com/MixtUZ.php hxxp: //campaignforyoungamerica.org/LT3YpB.php : //pc.all-to-all.com/Ryfq7Y.php hxxp: //apexminerals.com.au/k8HqvL.php hxxp: //macphoto.nl/7NBUqj.php hxxp: //acie.edu.np/ DFQvsZ.php hxxp: //international.woptimo.com/YglxHK.php hxxp: //t-firma-en.itech-websolutions.com/U2Ac7i.php hxxp: //artistblip.com/QJ9HzW.php hxxp: // villisplace.info/fJQ_3v.php hxxp: //jogos.testeqi.com.br/4t1E7X.php hxxp: //telecom-sa.com/azRXqt.php hxxp: //dolphinworld.org/MaB54K.php hxxp: // yardstickglobal.in/Y37Jux.php hxxp: //noahwilbanks.com/PtXsO_.php hxxp: //kskillsmobility.eu/ludO0_.php hxxp: //liberal.com.mx/0My2EZ.php hxxp: // itt-pushkino. org / D2BE6m.php hxxp: //avazuinc.com/D04m5N.php hxxp: //empiredigitalmarketing.com/09LihY.php hxxp: //appttitude.fr/eC2F1f.p hp hxxp: //ifawindow.co.uk/0w5MVI.php hxxp: //calsalumni.iastate.edu.staging.sites.flyinghippo.com/ScXajM.php hxxp: //grafitti-photo.com/IGHOYq.php hxxp: //bem-bakery.com/HPINRS.php hxxp: //dentiste-paris-20.fr/IhfweE.php hxxp: //daddysground.cz/zTVoGb.php hxxp: //hatha.it/6tnLEG.php hxxp: //bulksmsdealer.com/vR3BEX.php hxxp: //mangohills.net/RxIoCE.php hxxp: //aspectdesigns.com.au/0rTVlG.php hxxp: //acmm.org.au/idjFbx.php hxxp: // emotionwerbung.de/389Tak.php hxxp: //indonesiandomains.com/e9vsxj.php hxxp: //myteaminspired.com/mzTOIv.php hxxp: //monicasalvador.com.ar/btWiaQ.php hxxp: //turbosol.asia/ l7xydO.php hxxp: //hand-made.by/rQWftY.php hxxp: //conseils-finance.com/kJsnUb.php hxxp: //stevesyachtrepair.com/S8bJFl.php hxxp: //morainecare.com/eQRvWp. php hxxp: //taftee.in/JnGQ1s.php hxxp: //larosa.com.au/8beYcC.php hxxp: //itvsoft.asia/rRwKxj.php hxxp: //jameswbos.com/v10aAJ.php hxxp: / /giaohang.org/lCs_PE.php hxxp: //thebesttshirtsonline.com/CF9iM8.php hxxp: //vancouverdispensarycoalition.ca/euqUb5.php hxxp: // m uel.altervista.org/z1ho2W.php hxxp: //edlenimaging.com/be5AmR.php hxxp: //goldenangels.com.tr/l4Fw8D.php hxxp: //uzmankirala.com/KhVRbv.php hxxp: // igotocd. com / rklVaO.php hxxp: //dining-bar.com/BQ_Ln4.php hxxp: //jadwalpialadunia.in/rG4Rdi.php hxxp: //en.theolympiaschools.edu.vn/FCfXeB.php hxxp: // ihadthat. com / 1NEnbi.php hxxp: //directoryassistanceamerica.com/XeBUDN.php hxxp: //australianmotorinns.com/9ctKlH.php hxxp: //event-travel.co.uk/3K6Psd.php hxxp: // london-escorts- agency.org.uk/fdnmyD.php hxxp: //vinastudio.at/8TkXUJ.php hxxp: //jjcampbell.com/1wK5Iy.php

Клиенты Forecepoint ™ защищены от этой угрозы посредством TRITON® ACE на следующих этапах атаки:

• Этап 2 (Приманка) - вредоносный Javascript на скомпрометированном веб-сайте обнаружен и заблокирован.
• Этап 4 (Exploit Kit) - страницы Angler EK идентифицированы и защищены от использования браузера пользователя.
• Этап 6 (обратный канал трафика). Попытки вредоносной программы CryptoWall 4.0 установить связь с сервером управления и контроля обнаруживаются и блокируются в режиме реального времени.

Интересно отметить, что рассматриваемый взломанный сайт является «входной дверью» к одной из услуг, предоставляемых крупной европейской компанией. В портфеле компании есть услуги в области авиалиний, проката автомобилей, общественного транспорта, Интернета и даже отелей и сдачи в аренду. Как и в аналогичных организациях, эти услуги интегрированы на уровне маркетинга и взаимодействия с клиентами. Получение электронного письма от группы скажем, что общественный транспорт будет включать ссылки и ссылки на их другие услуги. В этом конкретном случае один из наших исследователей впоследствии идентифицировал скомпрометированный сайт, связанный с электронным письмом с подтверждением бронирования, для другого участника группы. Это иллюстрирует два соображения:

1. Что требуется только одно слабое звено, чтобы позволить злоумышленникам потенциально «охватить» всю корпоративную клиентскую базу и

2. При создании материалов для обмена сообщениями с клиентами следует учитывать особую строгость при включении ссылок на другие службы, как на внешние, так и на внутренние. Не просто будьте осторожны с тем, что вы нажимаете, будьте осторожны с тем, на что вы ссылаетесь

Angler EK продолжает оставаться одной из самых больших угроз для людей и организаций по всему миру. Принятие одной из новейших уязвимостей в Adobe Flash Player в сочетании с компрометацией громких веб-сайтов гарантирует, что преступники, стоящие за Angler EK, имеют большую площадь потенциальных жертв. Важно быть в курсе обновлений программного обеспечения, особенно для Adobe Flash Player, который часто является оружием выбора для участников вредоносных программ, когда дело доходит до поиска уязвимостей.