Afgelopen maandag 16 oktober kwam Adobe met een noodpatch voor een actief aangevallen zeroday-lek in Flash Player en nog geen twee dagen later is er een nieuwe aanval waargenomen die van de kwetsbaarheid misbruik maakt. Dat laat securitybedrijf Proofpoint in een analyse weten.

De aanvallers versturen een e-mail met als bijlage een Microsoft Word-document genaamd "World War 3.docx". Aan het Word-document is een embedded ActiveX-object toegevoegd dat de Flash Player-exploit bevat. Deze exploit maakt misbruik van de kwetsbaarheid in Flash Player. Alleen het openen van het document met een ongepatchte versie van Flash Player op een Windows-computer is voldoende om besmet te raken.

Onderzoekers hebben het document getest en stellen dat de aanval succesvol is op Windows 7 en Windows 10 met een kwetsbare versie van Flash Player en Microsoft Office 2013. MacOS-gebruikers zijn geen doelwit van de aanval en ook gebruikers met een 64-bit versie van Microsoft Office 2016 in combinatie met de Windows 10 Fall Creators Update zijn tegen de exploit beschermd.

Volgens Proofpoint blijkt uit verschillende zaken dat de aanvallers deze aanvalscampagne waarschijnlijk snel in elkaar hebben gezet, om zo gebruikers en organisaties aan te kunnen vallen die de beschikbare update nog niet hebben geïnstalleerd. In het geval de aanval succesvol is wordt er malware geinstalleerd waarmee aanvallers het systeem verder kunnen verkennen.

De aanval wordt door Proofpoint toegeschreven aan een groep aanvallers genaamd APT28, die ook bekendstaat als Fancy Bear, Pawn Storm, Sofacy en Strontium. Volgens verschillende beveiligingsbedrijven gaat het om een groep hackers die vanuit Rusland opereert en mogelijk steun van de Russische overheid krijgt. De groep wordt voor een groot aantal aanvallen verantwoordelijk gehouden.

Eerder werden de onderzoeksraad van MH17, verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, de Duitse politieke partij CDU, Sanoma, de presidentscampagne van Hillary Clinton, de Franse televisiezender TV5, het Wereld Anti-Doping Agentschap (WADA), de internationale atletiekbond IAAF, MH17-onderzoekers van het onderzoekscollectief Bellingcat, de democratische topman John Podesta, het campagneteam van de Franse president Macron, Europese diplomaten en wifi-netwerken in Europese hotels door de groep aangevallen.