“Dealers Choice” 是黑客組織Sofacy利用Flash Player漏洞的平臺

發(fā)布: 2016-10-21 17:20 | 作者: | 來源:      

2016年10月21日16:09 來源:移動通信網T|T

【移動通信網】PaloAltoNetworks威脅情報小組Unit42早前曾報告過由黑客組織Sofacy在去年發(fā)起的多項攻擊,最近的一次便是有關Sofacy常用的一種工具的OSX變體—Komplex。在Komplex發(fā)動攻擊的同一段時間內,我們收集了幾個早前曾被Sofacy使用但未被發(fā)現的專用黑客工具。通過專用黑客工具來利用已知MicrosoftWord漏洞是許多黑客組織的慣用伎倆,但在本案例中,我們發(fā)現了包含嵌入式OLEWord文檔的RichTextFile(RTF)文件,其中還包含嵌入式AdobeFlash(.SWF)文件,其目的專為利用Flash漏洞而非MicrosoftWord。我們把生成這些文檔的工具命名為“DealersChoice”。

除了這個新的手段,我們還發(fā)現了兩個不同的嵌入式SWF文件的變體:第一個是包含有壓縮有效攻擊載荷的獨立版本,我們稱之為“DealersChoice.A”﹔第二個變體是一個更加模塊化的版本,部署有額外的反分析技術,我們稱之為“DealersChoice.B”。

“DealersChoice.B”的發(fā)現顯示最初的“DealersChoice.A”變體代碼可能已演變。此外,從“DealersChoice”中的工件可以看出Sofacy創(chuàng)建它的目的,是為了同時針對Windows和OSX操作系統(tǒng)進行攻擊,因為使用AdobeFlash文檔,“DealersChoice”便可跨越不同平臺。

Sofacy攻擊的目標信息仍然有限,但我們能夠確定烏克蘭的國防承包商以及該地區(qū)某國家的外交部是這些襲擊的目標。本文主要討論的是我們對DealersChoice的研究,但值得注意的是,美國政府最近在民主黨全國委員會(DNC)被黑客入侵事件中把許多與該組織相關的攻擊歸咎于俄羅斯。(Sofacy,也被稱為APT28,往往被稱隸屬于俄羅斯)

PaloAltoNetworks客戶可通過以下方式免受“DealersChoice”文件和SofacyCarberp有效載荷的攻擊:

焀ildfire檢測到的判定為惡意的已知樣本

熕幸閻腃2在PAN-DB中被歸類為惡意

烼raps能夠阻止“DealersChoice”使用的攻擊代碼

AutoFocus客戶可以通過以下方式收集“DealersChoice”和SofacyCarberp的其他信息:

烡ealersChoice創(chuàng)建的AutoFocus標簽

熡行Ц涸嘏浜螦utoFocus中的SofacyCarberp標簽


微信掃描分享本文到朋友圈
掃碼關注5G通信官方公眾號,免費領取以下5G精品資料

本周熱點本月熱點

 

  最熱通信招聘

業(yè)界最新資訊

  最新招聘信息