Adobe近期修复了存在于Flash Player的类型混乱安全漏洞，潜在攻击者可以利用该漏洞执行任意代码。Adobe表示Flash Player 31.0.0.148以及此前版本，Windows、macOS和Linux系统均受影响。该漏洞编号为CVE-2018-15981，被Adobe评为关键漏洞，攻击者可以在用户不知情的情况下执行各种恶意代码。 正如Common Weakness Enumeration平台所详述的，当“程序使用一种类型进行分配或者初始化资源（例如指针、对象或者变量），稍后使用与原始类型不兼容的类型访问该资源时，会出现类型混淆错误。”该错误是由处理恶意制作的.swf文件时触发的类型混淆错误引起的，这些文件可能使攻击者能够使用当前用户的系统权限在目标系统上执行任意代码。 对此，Adobe建议所有平台上的Flash Player应该尽快升级至31.0.0.153版本，以降低风险。   稿源：cnBeta，封面源自网络；

ESET 安全团队发现由国家资助的俄罗斯网络间谍组织 Turla 为其网络军械库增添了一款新“武器”，旨在针对 东欧各国使领馆开展攻击活动。据研究人员介绍说，Turla 将其后门与合法的 Flash Player 安装程序捆绑在一起，试图欺骗目标用户安装恶意软件，以便窃取敏感信息。 Turla 组织长期以来一直使用社交工程来引诱目标人群下载和安装伪造的 Adobe Flash Player。但 ESET 近期研究发现，该组织并未局限于以往的攻击工具 ，而是继续开发新型网络攻击武器。 据 ESET 透露 Turla 组织现在不仅将其后门与合法的 Flash Player 安装程序捆绑在一起，而且进一步融合更多可行方式，以确保所使用的 URL 和 IP 地址与 Adobe 的合法基础结构相对应。这样一来，攻击者基本上能够利用 Adobe 诱使用户下载恶意软件，并且使用户相信其下载的软件是来自 Adobe 官方网站（adobe.com）的。 自 2016 年 7 月以来该新工具的攻击活动中有几个与 Turla 组织有关的特征，其中包括该组织创建的后门程序 “ 蚊子”（Mosquito），以及之前与该组织关联使用的IP地址。 除了上述相关特征之外，新工具与 Turla 组织传播的其他恶意软件家族也有相似之处。 攻击媒介 ESET 研究人员提出了几个假设（如下图所示），是关于 Turla 的恶意软件如何应用到用户的计算机上。下图按照图标依次为：① 本地中间人攻击、② 危及网关 、③ ISP 更改流量、④ BGP 劫持、⑤ Adobe 某种威胁，其中 ⑤ 的假想被认为是不太可能成立的。 经过假设以及验证，ESET 研究人员考虑的可能的攻击媒介是： — 受害者组织网络内的一台机器可能被劫持，以便它可以作为本地中间人（MitM）攻击的跳板，这将有效地将目标机器的流量重定向到本地网络上的受感染机器上。 — 攻击者还可能危及组织的网关，使其能够拦截该组织的内部网和互联网之间的所有传入和传出流量。 — 流量拦截也可能发生在互联网服务提供商（ ISP ）的层面上 。 — 攻击者可能使用边界网关协议（BGP）劫持来将流量重新路由到 Turla 控制的服务器，虽然这种策略可能会相当迅速地启动 Adobe 或 BGP 监视服务的警报。 一旦成功安装并启动假 Flash 程序，前面所使用的几个后门则可能被丢弃，如后门 Mosquito ，它是一个 Win32 恶意软件，通过恶意 JavaScript 文件与 Google Apps 脚本上托管的 Web 应用程序通信，或者是从伪造的和不存在的 Adobe URL 下载的未知文件。 然后，这个阶段将被设定为任务的主要目标——过滤敏感数据，包括受感染计算机的唯一 ID、用户名以及安装在设备上的安全产品列表。而用户名和设备名称则会由 Turla 所使用的后门从在 MacOS 上过滤出来。 在这个过程的最后一部分，伪造的安装程序会丢弃随后运行合法的 Flash Player 应用程序以便迷惑用户。后者的安装程序要么嵌入到其伪造的对象中，要么从 Google Drive 网址下载。为了在系统上建立持久性，恶意安装程序还会篡改操作系统的注册表，创建一个允许远程访问的管理帐户。 目前，ESET 的研究人员称已经发现了 Turla 后门 Mosquito 的新样本，不过其代码分析更加困难。 相关阅读： <Turla’s watering hole campaign: An updated Firefox extension abusing Instagram> <Carbon Paper: Peering into Turla’s second stage backdoor> 消息来源：welivesecurity，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安全研究人员最近发现了一款来自伊朗的 macOS 恶意软件 MacDownloader ，企图攻击与美国国防工业相关的个人和企业。研究人员在一个冒充是美国航空航天公司“联合科技公司（ United Technologies Corporation ）”的网站中发现这个恶意软件。该网站声称可提供“特殊项目和课程”，试图吸引潜在的攻击对象。此前该网站曾被用于传播 Windows 恶意软件。 目前访问该网站的访客会被恶意 Windows 或 MacOS 攻击，取决于访客使用的操作系统。如果是 MacDownloader，它会创建一个虚假的 Adobe Flash Player 对话提供 Flash 播放器的升级，或者是关闭窗口。研究人员表示 MacDownloader 起初伪装成一个虚假病毒删除工具，后来才重新包装成虚假 Flash Player 更新。 恶意软件会收集 Mac 用户数据将 Keychain 发送到攻击者服务器上。它还能够给出一个虚假的系统偏好对话框，骗取用户名和密码，用于访问加密的 Keychain 数据。 除了攻击美国国防工业之外，据悉该恶意软件还曾攻击过一位维护人权的人士，也就是说黑客还可以用这款恶意软件来攻击其他他们感兴趣的社区。 稿源：cnbeta，有删改，封面来源于网络

据外媒报道，微软发现两个截然不同的网络间谍组织 PROMETHIUM 和 NEODYMIUM 使用相同的 Flash Player 零日漏洞( CVE-2016-4117 )，针对生活在土耳其和其他欧洲国家的土耳其公民进行网络间谍活动。 Flash Player 零日漏洞( CVE-2016-4117 )早在今年 5 月 12 日修复，但是该漏洞仍然经常被黑客使用用于攻击活动。 APT 间谍组织 PROMETHIUM 自 2012 年以来就一直很活跃，攻击者将即时通讯应用程序作为攻击跳板，分发大量利用零日漏洞的恶意文档链接。之后，攻击者下载、执行一个特定的恶意软件“ Truvasys ”，针对土耳其语言环境下的设备。此外，APT 间谍组织 PROMETHIUM 还使用另外一个恶意软件 Myntor 进行有针对的攻击。 APT 间谍组织 NEODYMIUM 自今年 5 月开始使用零日漏洞并用于鱼叉式网络钓鱼邮件攻击，使用的后门木马叫做 “ Wingbird ”。Wingbird 与政府级商业监控软件 FinFisher 有很多相似的特征。此外，Wingbird 的目标多针对个人计算机而不是计算机网络。NEODYMIUM 的绝大多数受害者是位于土耳其( 80% ),其他的受害者多位于美国 、德国和英国 稿源：本站翻译整理，封面来源：百度搜索