Hackers rusos utilizan fallos zero-day de Flash y Windows
APT 28 reutilizó algunas de las mismas claves de cifrado e infraestructura, según FireEye.
Un nuevo ataque por un grupo de hackers conocido desde hace tiempo y sospechoso de estar relacionado con Rusia, hizo poco para enmascarar su actividad en un ataque hace una semana.
La compañía de seguridad informática FireEye comunicó el sábado que el grupo, denominado APT 28, atacó “una entidad gubernamental internacional” el 13 de abril, utilizando dos fallos de software recientemente descubiertos, uno de los cuales no ha sido parcheado todavía.
El ataque buscaba engañar a las víctimas clicando en un link que conducía a un sitio web que atacaba a su ordenador. Primero utilizaba una vulnerabilidad del Flash de Adobe Systems, CVE-2015-3043, y luego utilizaba una vulnerabilidad no parcheada todavía de Microsoft, CVE-2015-1701, para conseguir privilegios de acceso en un ordenador.
En un comunicado del año pasado, FireEye afirmó que APT 28 había llevado ataques contra organizaciones políticas y militares desde al menos 2007.
El malware del último ataque es muy similar a CHOPSTICK, una puerta trasera utilizada por APT 28. De hecho, el malware del último ataque utilizó la misma clave de cifrado RC4 utilizada por CHOPSTICK, según FireEye.
Incluso grupos de hackers conocidos por su sofisticación, reutilizan a menudo componentes o infraestructura, que con el tiempo ayudan a los investigadores a identificar sus ataques. FireEye también dijo que el último malware conecta con la misma infraestructura de mando-y-control que ha utilizado APT 28.
El ataque utilizado por APT 28 no funciona si los usuarios han actualizado a la última versión de Flash lanzada el martes pasado, por lo que se advierte a los administradores para que implanten la actualización inmediatamente.
