Исследователи из Trend Micro зафиксировали серию целевых атак, использующих новую уязвимость нулевого дня в Adobe Flash Player. Отчет об опасной бреши уже передан разработчику, выход патча ожидается на следующей неделе.

Как удалось определить, автором текущей кампании, направленной против министерств иностранных дел ряда стран, является шпионская группировка Operation Pawn Storm, также известная как APT28, Sednit, Fancy Bear, Sofacy и Tsar Team. Эти хакеры, предположительно российского происхождения, и ранее были замечены в APT-атаках против правительственных структур, военных и политических организаций, высокопоставленных чиновников и представителей СМИ.

Основным орудием Pawn Storm являются эксплойты для Flash, Windows, Java, ссылки на них распространяются в целевых письмах. «За последний год Pawn Storm применила шесть эксплойтов нулевого дня», — подтвердил директор Trend Micro по кибербезопасности Том Келлерман (Tom Kellermann), комментируя новую находку изданию Security Week.

«С недавних пор министерства иностранных дел особо интересуют Pawn Storm, — пишут исследователи в блоге Trend Micro. — Помимо зловредов они также используют поддельные OWA-серверы, служащие ловушкой для разных министерств. С их помощью злоумышленники проводят незамысловатые, но весьма эффективные фишинговые атаки. В одном министерстве, например, были скомпрометированы DNS-настройки для входящей почты, что позволило Pawn Storm длительное время перехватывать входящую корреспонденцию этой организации».

По свидетельству Trend Micro, в новых целевых рассылках в качестве приманки используются актуальные политические события: война в Сирии, крушение вертолета НАТО в Кабуле, новый воздушный налет в секторе Газа, наращивание ядерного потенциала США в Турции и Западной Европе. Вредоносные ссылки, внедряемые Pawn Storm в фишинговые письма, идентичны тем, что использовались в ходе апрельских атак на Белый дом и НАТО. В комментарии Security Week Келлерман отметил, что фишеры адресуют свои письма не только высокопоставленным чиновникам, но также их супругам.

Как удалось установить, новая уязвимость 0-day (CVE-2015-7645) актуальна для Flash Player версий 19.0.0.185 и 19.0.0.207. К сожалению, вышедший в минувший вторник апдейт ее не устраняет. По результатам изучения отчета Trend Micro разработчик выпустил информационный бюллетень, пообещав разработать патч для платформ Windows, Macintosh и Linux на следующей неделе.

Update. Экстренное обновление вышло досрочно. Бюллетень APSB15-27 закрывает не только CVE-2015-7645, но также еще две критические уязвимости в Flash – CVE-2015-7647 и CVE-2015-7648.

Категории: Главное, Мошенничество, Уязвимости, Хакеры