En début de semaine, Adobe a publié en urgence un correctif pour une vulnérabilité critique affectant Flash Player. Kaspersky Lab avait découvert un exploit 0-day et une attaque menée par un groupe BlackOasis pour propager le logiciel espion FinSpy (ou FinFisher).
Selon Proofpoint, le groupe APT28 se dépêche d'exploiter cette même faille avant que le patch salvateur ne soit largement déployé. Via des campagnes de phishing, les cibles sont localisées à travers l'Europe et aux États-Unis. Il s'agit notamment de ministères aux affaires étrangères et d'entreprises dans le secteur de l'aérospatial.
L'attaque repose sur un document Microsoft Word malveillant en pièce jointe d'un email, et permettant de faire appel à l'exploit Flash Player. Le but serait au final de pouvoir implanter divers outils et malwares sur un système.
Le groupe APT28 est distinct du groupe BlackOasis. Probablement lié aux services de renseignements militaires russes, il est autrement connu en tant que Fancy Bear, Sofacy Group ou encore Pawn Storm.
C'est en tout cas un nouvel avertissement à prendre en compte. Même avec sa mort annoncée et accélérée via une désactivation par défaut des navigateurs, Flash Player demeure toujours un vecteur d'attaque de premier choix.