Группа кибершпионов, известная под именем APT28, на днях запустила несколько вредоносных кампаний по распространению вредоносных программ, в ходе которых используется уязвимость нулевого дня в Adobe. Напомним, что APT28, как предполагают эксперты, спонсируется российским правительством.
Речь идет об уязвимости, получившей идентификатор CVE-2017-11292. По данным компании Proofpoint, APT28 нацелилась на государственные ведомства и предприятия в Европе и США.
Группа APT28 известна также под другими именами: Fancy Bear, Sofacy, Sednit, Tsar Team, Pawn Storm и Strontium. Эти хакеры отличились атаками на DNC, парламент Германии, НАТО, Пентагон, Белый дом и многих других.
APT28 нашла способ использовать 0-day уязвимость до того, как она потеряют свою актуальность. На данный момент непонятно, приобрели ли хакеры эксплойт, нашли, или же воспользовались обратной разработкой (reverse engineering), чтобы получить его из атаки BlackOasis.
Атаки APT28 были легко выявлены, поскольку они использовали старый вредоносный код - DealersChoice. DealersChoice представляет собой фреймворк, встроенный в файлы Office, которые доставляются жертвам через электронную почту. Этот фреймворк загружает код эксплойта для CVE-2017-11292 и пытается запустить его.
Proofpoint в настоящее время пытается уничтожить командные серверы C&C, связанные с вредоносными кампаниями.