Vulnérabilité Flash 0jour dans des attaques APT

Les chercheurs de Trend Micro ont découvert une série d’attaques ciblées qui exploitent une nouvelle vulnérabilité 0jour dans Adobe Flash Player. Les informations relatives à cette dangereuse faille ont déjà été transmises au développeur et un correctif devrait être publié au cours de la semaine.

D’après l’analyse, l’auteur de la campagne actuelle, qui vise le ministère des Affaires étrangères de plusieurs pays, serait le groupe d’espionnage Operation Pawn Storm, connu également sous les noms APT28, Sednit, Fancy Bar, Sofacy et Tsar Team. Ces hackers, probablement d’origine russe, ont déjà été impliqués dans des attaques APT organisées contre des structures gouvernementales, des organisations militaires et politiques, des fonctionnaires haut placés et des représentants des médias.

Pawn Storm utilise principalement des codes d’exploitation pour Flash, Windows et Java. Les liens vers ces codes sont propagés via des messages ciblés. Tom Kellerman, directeur chargé de la cybersécurité pour Trend Micro, a déclaré à SecurityWeek qu' »au cours des 12 derniers mois Pawn Storm a utilisé six codes d’exploitation pour des vulnérabilités 0jour ».

Il écrit dans le blog de Trend Micro: « Récemment, Pawn Storm s’est particulièrement intéressé aux ministères des Affaires étrangères. Outre des malwares, les opérateurs ont également utilisé de faux serveurs OWA en tant que piège pour différents ministères. Les individus malintentionnés les utilisent pour organiser des attaques de phishing élémentaires, mais efficaces. Ainsi, les paramètres DNS ont pu être compromis dans un ministère, ce qui a permis à Pawn Storm d’intercepter pendant longtemps tout le courrier entrant de cette organisation ».

D’après les informations de Trend Micro, les récentes diffusions ciblées utilisent des événements politiques d’actualité en tant qu’appât: la guerre en Syrie, le crash d’un hélicoptère de l’OTAN à Kaboul, les nouvelles frappes aériennes dans le secteur de Gaza, le développement des capacités nucléaires américaines en Turquie et en Europe de l’Ouest. Les liens malveillants ajoutés par Pawn Storm dans les messages de phishing ressemblent à ceux utilisés dans le cadre des attaques organisées en avril contre la Maison blanche et l’OTAN. Dans les commentaires partagés avec SecurityWeek, Tom Kellerman a indiqué que les auteurs envoient ces messages de phishing non seulement aux hauts fonctionnaires, mais à leurs conjoints également.

La nouvelle vulnérabilité 0-day (CVE-2015-7645) touche Flash Player, versions 19.0.0.185 et 19.0.0.207. Malheureusement, la mise à jour diffusée mardi ne l’a pas éliminée. Après avoir consulté le rapport de Trend Micro, le développeur a publié un bulletin d’informations dans lequel il promet de publier un correctif pour Windows, Macintosh et Linux au cours de la semaine prochaine.

Source: Security Week

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *