Недавний баг в Flash Player эксплуатирует еще одна хакерская группировка

24 Октябрь 2017

Недавно мы писали об экстренном патче, который выпустила компания Adobe для того, чтобы устранить критическую уязвимость в своем продукте Flash Player. Тогда стало известно, что дыра использовалась хакерами из преступной группировки BlackOasis. Сейчас же стало известно, что не они одни проявляли интерес к этой уязвимости. Ее еще вполне продуктивно эксплуатировала хакерская группа APT28, которая может действовать под другими названиями.

Напомним, что речь идет об уязвимости с идентификатором CVE-2017-11292. Она имеется в Flash Player для всех десктопных операционных систем, а также она представляет угрозу для пользователей браузеров Microsoft Edge и Internet Explorer.

Указанная уязвимость относится к критическим, так как она позволяет злоумышленнику удаленно выполнить произвольный код на компьютере жертвы.

Об этом баге впервые сообщили эксперты из «Лаборатории Касперского». Им стало известно, что брешь в Flash Player используется для распространения шпионского программного обеспечения под названием FinSpy.

На этот раз на использовании CVE-2017-11292 попалась еще одна хакерская группировка. Обнаружить фак эксплуатации этого бага удалось специалистам из компании Proofpoint. Они выяснили, что дыра в Flash Player эксплуатируется уже примерно неделю хакерами из APT28. Пока исследователям еще не удалось установить, где злоумышленники взяли эксплоит для эксплуатации данной уязвимости. Возможно, что они написали его самостоятельно или же купили в Даркнете. Но есть еще один вариант. Они моли получить его путем обратной разработки атаки, осуществленной группировкой BlackOasis.

Как рассказали эксперты компании Proofpoint, им удалось отследить несколько атак, совершенных APT28. Они были направлены преимущественно на правительственные организации или предприятия, сотрудничающие с ними в США и Европе. В случае успеха таких атак больше всего пострадали бы, наверное, предприятия аэрокосмической промышленности и дипломатические ведомства.

При детальном изучении попыток, совершенных хакерами, стало ясно, что те используют так называемые точечные фишинговые атаки. Они совершаются путем отправки своим жертвам писем, в которых содержится зараженный документ.

Такие атаки в последнее время обрели широкую популярность среди хакеров, которые атакуют организации. В этом случае узнать, кто является исполнителем, удалось довольно быстро, так как во время атаки хакеры использовали фрейморк DealersChoise. Специалистам по информационной безопасности уже давно известно, что этот инструмент уже давно используется именно хакерами из ATP28.

В связи с участившимися фишинговыми атаками эксперты по информационной безопасности настоятельно рекомендуют пользователям не открывать и не загружать никакие файлы из подозрительных писем, отправленных неизвестным контактом.