CIBERESPIAS RUSOS EXPLOTAN LA ULTIMA VULNERABILIDAD DE FLASH

Un grupo de ciberespionaje de ciberseguridad APT28 que se cree que operaba bajo la supervisión del estado ruso ha enviado recientemente varias campañas de distribución de malware que intentan aprovechar una vulnerabilidad de día cero de Flash

APT28 está tratando de explotar el dia cero CVE-2017-11292 antes de que la gran mayoría de los usuarios reciban parches o actualicen sus sistemas.

Según la firma estadounidense de seguridad cibernética Proofpoint, la primera que detectó estos ataques, APT28 apuntó a un amplio conjunto de objetivos en Europa y en los Estados Unidos.

Los datos actuales sobre la campaña de correo electrónico de spear-phishing sugieren que el grupo se enfocó en departamentos estatales y empresas del sector privado en la industria aeroespacial.

La evidencia también sugiere que el grupo se apresuró a armar un exploit y la campaña de distribución, reutilizando el código de los ataques pasados ​​y dejando a los expertos con la impresión de una operación descuidada.

Esto no es específico de APT28, un grupo que ha sido bastante apto en su trabajo, aunque no es perfecto. El grupo se conoce con otros apodos como Fancy Bear, Sofacy, Sednit, Tsar Team, Peon Storm o Strontium, y ha orquestado ataques contra el DNC, el Parlamento alemán, la OTAN, el Pentágono, la Casa Blanca y muchos más.

Esta no es la primera vez que el grupo utiliza un exploit de día cero antes de que la mayoría de sus objetivos parcheen sus sistemas. El grupo hizo lo mismo en Ma y este año después de que Microsoft reparó tres días cero: CVE-2017-0261 (función Office EPS), CVE-2017-0262 (Microsoft Word) y CVE-2017-0263 (Windows).

APT28 descubrió y exploits de dias ceros. Esta vez, el parche de día cero de Flash esta semana no fue el suyo. Sin embargo, APT28 encontró una forma de deducir su cadena de explotación y usarla en ataques antes de que se enfriara completamente y perdiera su eficiencia.

Los investigadores de Kaspersky descubrieron el CVE-2017-11292 Flash de día cero en ataques llevados a cabo por un grupo de ciberespionaje de Medio Oriente conocido como BlackOasis. El grupo es conocido por emplear un juego de herramientas de espionaje ("vigilancia legal") llamado FinSpy, vendido por la firma británica Gamma Group International.

No está claro si APT28 también compró el día cero, lo descubrió por su cuenta o lo revertió desde el ataque de BlacOasis.

Los ataques CVE-2017-11292 de APT28 fueron fáciles de detectar porque empleaban el mismo malware Old DealersChoice.

DealersChoice es un marco de explotación incrustado en archivos de Office enviados mediante correo electrónico de suplantación de identidad. Cuando el usuario abre estos archivos atrapados en el booby, las llamadas de DealersChoice a un servidor remoto, descargan el código de explotación CVE-2017-11292 e intentan ejecutarlo en el lado de la víctima.

Fecha actualización el 2021-06-17. Fecha publicación el 2017-10-20. Categoría: Flash. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer
Ciberespias rusos