Mais vulnerabilidades, mais uma vez, a Adobe. A Adobe apressou-se a lançar mais um patch de segurança não programado, com o objetivo de corrigir duas vulnerabilidades críticas, visto que estavam a ser potencialmente exploradas por hackers norte coreanos.
O boletim de prioridade APSB18-03 “patched” duas falhas reportadas no programa bug-prone do Flash, que podem levar à execução remota de código.
“Adobe is aware of a report that an exploit for CVE-2018-4878 exists in the wild, and is being used in limited, targeted attacks against Windows users,” the firm said in an advisory. “These attacks leverage Office documents with embedded malicious Flash content distributed via email.”
O alerta para este bug foi dado à 31 de janeiro pela equipa Sul Coreana CERT KISA, que confirmou a existencia do bug na versão 28.0.0.137 e anteriores, do Flash Player.
A FireEye deixou logo um comunicado, afirmando que os atores que exploravam eram um grupo norcoreano, conhecidos por TEMP.Reaper (também conhecido como Grupo 123).
“We have observed TEMP.Reaper operators directly interacting with their command and control infrastructure from IP addresses assigned to the STAR-KP network in Pyongyang. The STAR-KP network is operated as a joint venture between the North Korean Government’s Post and Telecommunications Corporation and Thailand-based Loxley Pacific”.
“Historically, the majority of their targeting has been focused on the South Korean government, military, and defense industrial base; however, they have expanded to other international targets in the last year.”
O propósito da da vulnerablidade é disseminar um trojan para websites de terceiros e que comunica com um servidor alojado na coreia. Este trojan tem o objetivo de obter acesso remoto e é intitulado por Dogcall (Rokrat).