Palo Alto 最新披露:「DealersChoice」是黑客組織 Sofacy 利用 Flash 播放器漏洞的平台

週一, 2016年10月24日 21:50
打印

 

Palo Alto 最新披露:「DealersChoice」是黑客組織 Sofacy 利用 Flash 播放器漏洞的平台

 

網誌節錄如下:
Unit 42早前已報告過Sofacy組織於去年的各種攻擊,最近一次便是關於 Sofacy組織常用的一種工具的OS X變體 — Komplex。在Komplex攻擊的同一段時間內,我們收集了幾個早前未被發現Sofacy組織使用的武器化檔案。把檔案武器化以利用已知的Microsoft Word漏洞是許多黑客組織部署的常見技倆,但在本案例中,我們發現了包含嵌入式OLE Word文檔的Rich Text File(RTF)檔案,其中還包含嵌入式Adobe Flash (.SWF)檔案,其目的專為利用Flash漏洞而非 Microsoft Word。我們把產生這些檔案的工具命名為「DealersChoice」。
 
除了發現這個新的手段,我們還識別了兩個嵌入SWF檔案的不同變體:第一個是包含壓縮有效載荷的獨立版本,我們稱之為「DealersChoice.A」﹔第二個變體是一個更模塊化的版本,能安裝額外的反分析技術,我們稱之為「DealersChoice.B」。
 
「DealersChoice.B」的發現顯示最初的「DealersChoice.A」變體代碼可能已演變。此外,從 「DealersChoice」中的工件可見Sofacy創建它的目的,是為了同時針對Windows和OSX操作系統作出攻擊,因為使用Adobe Flash檔案,「DealersChoice」便可跨越不同平台。
 
Sofacy組織攻擊的目標資訊仍然有限,但我們能夠確定烏克蘭的國防承包商以及同一地區的某國家外交部是這些襲擊的目標。此文章主要是我們對DealersChoice的研究,但值得注意的是,美國政府最近在民主黨全國委員會(DNC)被黑客入侵事件中把許多與該組織相關的攻擊歸咎於俄羅斯。(Sofacy,也被稱為APT 28,往往被稱隸屬於俄羅斯。)
 
Palo Alto Networks客戶透過以下方式免受「DealersChoice」檔案和Sofacy Carberp有效載荷的攻擊:
•WildFire檢測所有已知樣本為惡意
•所有已知的C2在PAN-DB中被歸類為惡意
•Traps能夠阻止「DealersChoice」使用的攻擊代碼
 
AutoFocus客戶可以通過以下方式收集「DealersChoice」和Sofacy Carberp的其他資訊:
•DealersChoice創建的AutoFocus標籤
•有效負載配合AutoFocus中的Sofacy Carberp標籤
 
如欲閱讀網誌全文及詳細分析,請瀏覽:
http://researchcenter.paloaltonetworks.com/2016/10/unit42-dealerschoice-sofacys-flash-player-exploit-platform/

 

作者:Palo Alto Networks 威脅情報團隊Unit 42 分析員Robert Falcone 和  Bryan Lee