Nuova vulnerabilità Flash 0-day, ancora aperta, sfruttata per attacchi APT

I ricercatori di Trend Micro hanno rilevato una serie di attacchi informatici mirati che utilizzano una nuova vulnerabilità 0-day individuata in Adobe Flash Player. Le informazioni relative a tale pericolosa falla di sicurezza sono state già trasmesse allo sviluppatore; il rilascio dell’apposita patch è atteso per la prossima settimana.

L’analisi condotta dagli esperti ha permesso di determinare che l’autore della campagna in corso, volta a prendere di mira il ministero degli Affari Esteri di vari paesi, è il gruppo di spionaggio denominato Operation Pawn Storm, ugualmente conosciuto con gli appellativi di APT28, Sednit, Fancy Bear, Sofacy e Tsar Team. Gli attacker in questione, presumibilmente di origine russa, già in precedenza sono risultati implicati in attacchi APT organizzati contro strutture governative, istituzioni militari e politiche, funzionari di alto profilo ed esponenti dei mass media.

Il principale strumento di cui si avvale Pawn Storm è rappresentato da una serie di exploit per Flash, Windows e Java; i link preposti a condurre verso tali codici malevoli vengono distribuiti tramite messaggi e-mail mirati. “Nel corso di quest’ultimo anno, il gruppo Pawn Storm ha fatto uso di sei diversi exploit 0-day”, – ha affermato Tom Kellermann, direttore della divisione di sicurezza IT di Trend Micro, commentando la nuova scoperta su SecurityWeek.

“Recentemente, Pawn Storm ha dimostrato un particolare interesse proprio nei confronti di vari ministeri degli Affari Esteri, – scrivono i ricercatori sul blog di Trend Micro. – Oltre al malware, tale gruppo utilizza falsi server OWA, come una vera e propria “trappola” per i funzionari di diversi ministeri. In questo modo, i malintenzionati conducono attacchi di phishing piuttosto elementari, ma di indubbia efficacia. In uno dei suddetti ministeri, ad esempio, sono state compromesse le impostazioni DNS riguardanti la posta in arrivo; questo ha consentito a Pawn Storm di intercettare, per un lungo periodo di tempo, la corrispondenza in entrata dell’organizzazione sottoposta ad attacco”.

Secondo quanto riferisce Trend Micro, nell’ambito dei nuovi mailing di spear phishing vengono utilizzati, in qualità di esca, gli attuali avvenimenti politici: la guerra in Siria, l’incidente occorso ad un elicottero della NATO a Kabul, le nuove incursioni aeree sulla Striscia di Gaza, l’incremento del potenziale nucleare degli Stati Uniti in Turchia e nell’Europa Occidentale. I link malevoli inseriti dal gruppo Pawn Storm nelle e-mail di phishing risultano identici a quelli utilizzati nel quadro degli attacchi eseguiti nel mese di aprile scorso nei confronti della Casa Bianca e della NATO. Tom Kellermann, nel relativo commento rilasciato a SecurityWeek ha sottolineato come, nella circostanza, i phisher inviino i loro messaggi di posta non solo a funzionari di alto rango, ma anche ai coniugi di questi ultimi.

Si è potuto stabilire che la nuova vulnerabilità 0-day (CVE-2015-7645) riguarda Flash Player, versioni 19.0.0.185 e 19.0.0.207. Purtroppo, l’update rilasciato martedì scorso, non corregge tale vulnerabilità. Dopo aver consultato il report stilato da Trend Micro, lo sviluppatore ha emesso un bollettino informativo, promettendo di rilasciare, nel corso della prossima settimana, l’apposita patch per le piattaforme Windows, Macintosh e Linux.

Fonte: Securityweek

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *