Palo Alto Networks內容節選如下:
Palo Alto Networks 威脅情報小組Unit 42早前曾報告過由黑客組織Sofacy在去年發起的多項攻擊,最近的一次便是有關 Sofacy常用的一種工具的OS X變體 — Komplex。在Komplex發動攻擊的同一段時間內,我們收集了幾個早前曾被Sofacy使用但未被發現的專用黑客工具。通過專用黑客工具來利用已知Microsoft Word漏洞是許多黑客組織的慣用伎倆,但在本案例中,我們發現了包含嵌入式OLE Word文檔的Rich Text File(RTF)文件,其中還包含嵌入式Adobe Flash(.SWF)文件,其目的專為利用Flash漏洞而非 Microsoft Word。我們把生成這些文檔的工具命名為“DealersChoice”。
除了這個新的手段,我們還發現了兩個不同的嵌入式SWF文件的變體:第一個是包含有壓縮有效攻擊載荷的獨立版本,我們稱之為 “DealersChoice.A” ﹔第二個變體是一個更加模塊化的版本,部署有額外的反分析技術,我們稱之為 “DealersChoice.B” 。
“DealersChoice.B” 的發現顯示最初的 “DealersChoice.A” 變體代碼可能已演變。此外,從“DealersChoice” 中的工件可以看出Sofacy創建它的目的,是為了同時針對Windows和OSX操作系統進行攻擊,因為使用Adobe Flash文檔,“DealersChoice” 便可跨越不同平臺。
Sofacy攻擊的目標信息仍然有限,但我們能夠確定烏克蘭的國防承包商以及該地區某國家的外交部是這些襲擊的目標。本文主要討論的是我們對DealersChoice的研究,但值得注意的是,美國政府最近在民主黨全國委員會(DNC)被黑客入侵事件中把許多與該組織相關的攻擊歸咎于俄羅斯。(Sofacy,也被稱為APT 28,往往被稱隸屬于俄羅斯)
Palo Alto Networks客戶可通過以下方式免受 “DealersChoice” 文件 和Sofacy Carberp有效載荷的攻擊:
Wildfire檢測到的判定為惡意的已知樣本
所有已知的C2在PAN-DB中被歸類為惡意
Traps能夠阻止 “DealersChoice” 使用的攻擊代碼
AutoFocus客戶可以通過以下方式收集 “DealersChoice” 和Sofacy Carberp的其他信息:
DealersChoice創建的AutoFocus標簽
有效負載配合AutoFocus中的Sofacy Carberp標簽
——作者: Palo Alto Networks 威脅情報小組Unit 42工程師Robert Falcone 和 Bryan Lee
更多詳情,可閱讀博文全文:
http://researchcenter.paloaltonetworks.com/2016/10/unit42-dealerschoice-sofacys-flash-player-exploit-platform/
京公網安備 11010502049343號