趨勢科技最新研究發(fā)現(xiàn)，Nuclear 漏洞利用(Exp)工具包的最新版本已加入了三月剛剛修復(fù)的Flash Player漏洞(CVE-2015-0336)。

本次Flash嚴(yán)重漏洞僅僅是作為Adobe三月例行更新中被修復(fù)了，Adobe將其軟件版本更新至17.0.0.134。但是我們的反饋顯示很多用戶仍在使用之前的版本(16.0.0.305)。

攻擊過程

漏洞利用程序(SWF_EXPLOIT.OJF)包括一個IE修復(fù)工具網(wǎng)站和各種日本色情網(wǎng)站(= =)。一旦中招，用戶會被定向到一個著陸頁:

hxxp://_ibalinkmedia[.]com/S0ldSAZRTlpQVV8MXFhfUVcMUx1RW14.html

而這個頁面會立即加載漏洞利用程序(EXP):

hxxp://_ibalinkmedia[.]com/V0tCSEofXU8HAE9UCgBOXVEEXlpcX14AVlpTGlAKX08ABgNLBwAcAABLAQJOBQdXBAQDBgNWA09UWAE.

Nuclear漏洞利用工具包

漏洞利用工具包(EXP)一直是傳播犯罪軟件的重要工具。俗話說知己知彼百戰(zhàn)百勝，作為安全研究者，我們必須要完全的了解和分析他們。了解更多漏洞利用工具包

趨勢安全團(tuán)隊(duì)認(rèn)為，F(xiàn)lash Player現(xiàn)在更頻繁地被漏洞利用工具包盯上并收納。

我們之所以認(rèn)為這是來自Nuclear Exp是因?yàn)椋菏紫?，前面列出的這些URL的樣式與之前的Nuclear攻擊中的一致。其次著陸頁的內(nèi)容與之前的Nuclear攻擊也是一致的。

著陸頁的HTML代碼

受害者國家分布

調(diào)查結(jié)果顯示，全球有超過8,700用戶訪問過上面的網(wǎng)址。其中超過90%的受害者來自日本。

受害者的國家分布

這次的惡意Adobe Flash exp的SHA1：

d2bbb2b0075e81bfd0377b6cf3805f32b61a922e

安全建議

FreeBuf建議用戶立即更新到Flash Player最新版本。