"Русские" хакеры активно эксплуатируют недавно исправленный 0-day в Adobe Flash

Исследователи безопасности из компании Proofpoint сообщили , что хакерская группировка Fancy Bear, предположительно связанная с российскими спецслужбами, стоит за несколькими вредоносными кампаниями, в ходе которых эксплуатируется недавно исправленная 0-day уязвимость в Adobe Flash.

В ходе данных кампаний хакеры активно эксплуатируют уязвимость CVE-2017-11292, стремясь успеть до того, как большинство пользователей успеют установить соответствующий патч. Группировка атакует связанные с аэрокосмической индустрией государственные ведомства и частные компании, расположенные главным образом в США и странах Европы.

По имеющимся данным, группировка повторно использовала код, применявшийся в прошлых атаках, для разработки нового эксплоита, что может говорить о небрежности хакеров. Исследователям удалось оперативно выявить вредоносную кампанию, поскольку хакеры использовали вредоносное ПО DealersChoice, уже замеченное в предыдущих атаках.

Fancy Bear не первая хакерская группировка, попытавшаяся воспользоваться данной уязвимостью во Flash. Ранее CVE-2017-11292 эксплуатировалась хакерской группировкой Black Oasis для внедрения вредоносного ПО на компьютеры жертв.

Хакерская группировка Fancy Bear, также известная как APT28, Pawn Storm, Sofacy Group, Sednit и Strontium, предположительно связанная с ГРУ РФ, стоит за несколькими резонансными кибератаками, в том числе на немецкий парламент , французскую телевизионную станцию TV5Monde , Белый дом, НАТО, Национальный комитет Демократической партии США и избирательную кампанию кандидата в президенты Франции Эммануэля Макрона.

Источник