2016年10月21日16:09 来源:移动通信网T|T
【移动通信网】PaloAltoNetworks威胁情报小组Unit42早前曾报告过由黑客组织Sofacy在去年发起的多项攻击,最近的一次便是有关Sofacy常用的一种工具的OSX变体—Komplex。在Komplex发动攻击的同一段时间内,我们收集了几个早前曾被Sofacy使用但未被发现的专用黑客工具。通过专用黑客工具来利用已知MicrosoftWord漏洞是许多黑客组织的惯用伎俩,但在本案例中,我们发现了包含嵌入式OLEWord文档的RichTextFile(RTF)文件,其中还包含嵌入式AdobeFlash(.SWF)文件,其目的专为利用Flash漏洞而非MicrosoftWord。我们把生成这些文档的工具命名为“DealersChoice”。
除了这个新的手段,我们还发现了两个不同的嵌入式SWF文件的变体:第一个是包含有压缩有效攻击载荷的独立版本,我们称之为“DealersChoice.A”﹔第二个变体是一个更加模块化的版本,部署有额外的反分析技术,我们称之为“DealersChoice.B”。
“DealersChoice.B”的发现显示最初的“DealersChoice.A”变体代码可能已演变。此外,从“DealersChoice”中的工件可以看出Sofacy创建它的目的,是为了同时针对Windows和OSX操作系统进行攻击,因为使用AdobeFlash文档,“DealersChoice”便可跨越不同平台。
Sofacy攻击的目标信息仍然有限,但我们能够确定乌克兰的国防承包商以及该地区某国家的外交部是这些袭击的目标。本文主要讨论的是我们对DealersChoice的研究,但值得注意的是,美国政府最近在民主党全国委员会(DNC)被黑客入侵事件中把许多与该组织相关的攻击归咎于俄罗斯。(Sofacy,也被称为APT28,往往被称隶属于俄罗斯)
PaloAltoNetworks客户可通过以下方式免受“DealersChoice”文件和SofacyCarberp有效载荷的攻击:
焀ildfire检测到的判定为恶意的已知样本
熕幸阎腃2在PAN-DB中被归类为恶意
烼raps能够阻止“DealersChoice”使用的攻击代码
AutoFocus客户可以通过以下方式收集“DealersChoice”和SofacyCarberp的其他信息:
烡ealersChoice创建的AutoFocus标签
熡行Ц涸嘏浜螦utoFocus中的SofacyCarberp标签