除了這個新的手段,我們還發現了兩個不同的嵌入式SWF文件的變體:第一個是包含有壓縮有效攻擊載荷的獨立版本,我們稱之為 “DealersChoice.A” ﹔第二個變體是一個更加模塊化的版本,部署有額外的反分析技術,我們稱之為 “DealersChoice.B” 。
“DealersChoice.B” 的發現顯示最初的 “DealersChoice.A” 變體代碼可能已演變。此外,從 “DealersChoice” 中的工件可以看出Sofacy創建它的目的,是為了同時針對Windows和OSX操作系統進行攻擊,因為使用Adobe Flash文檔,“DealersChoice” 便可跨越不同平臺。
Sofacy攻擊的目標信息仍然有限,但我們能夠確定烏克蘭的國防承包商以及該地區某國家的外交部是這些襲擊的目標。本文主要討論的是我們對DealersChoice的研究,但值得注意的是,美國政府最近在民主黨全國委員會(DNC)被黑客入侵事件中把許多與該組織相關的攻擊歸咎于俄羅斯。(Sofacy,也被稱為APT 28,往往被稱隸屬于俄羅斯)
Palo Alto Networks客戶可通過以下方式免受 “DealersChoice” 文件 和Sofacy Carberp有效載荷的攻擊:
? Wildfire檢測到的判定為惡意的已知樣本
? 所有已知的C2在PAN-DB中被歸類為惡意
? Traps能夠阻止 “DealersChoice” 使用的攻擊代碼
AutoFocus客戶可以通過以下方式收集 “DealersChoice” 和Sofacy Carberp的其他信息:
? DealersChoice創建的AutoFocus標簽
? 有效負載配合AutoFocus中的Sofacy Carberp標簽
京公網安備 11010502049343號