“Dealers Choice” 是黑客组织Sofacy利用Flash Player漏洞的平台

2016年10月21日16:09 来源:移动通信网T|T

【移动通信网】PaloAltoNetworks威胁情报小组Unit42早前曾报告过由黑客组织Sofacy在去年发起的多项攻击,最近的一次便是有关Sofacy常用的一种工具的OSX变体—Komplex。在Komplex发动攻击的同一段时间内,我们收集了几个早前曾被Sofacy使用但未被发现的专用黑客工具。通过专用黑客工具来利用已知MicrosoftWord漏洞是许多黑客组织的惯用伎俩,但在本案例中,我们发现了包含嵌入式OLEWord文档的RichTextFile(RTF)文件,其中还包含嵌入式AdobeFlash(.SWF)文件,其目的专为利用Flash漏洞而非MicrosoftWord。我们把生成这些文档的工具命名为“DealersChoice”。

除了这个新的手段,我们还发现了两个不同的嵌入式SWF文件的变体:第一个是包含有压缩有效攻击载荷的独立版本,我们称之为“DealersChoice.A”﹔第二个变体是一个更加模块化的版本,部署有额外的反分析技术,我们称之为“DealersChoice.B”。

“DealersChoice.B”的发现显示最初的“DealersChoice.A”变体代码可能已演变。此外,从“DealersChoice”中的工件可以看出Sofacy创建它的目的,是为了同时针对Windows和OSX操作系统进行攻击,因为使用AdobeFlash文档,“DealersChoice”便可跨越不同平台。

Sofacy攻击的目标信息仍然有限,但我们能够确定乌克兰的国防承包商以及该地区某国家的外交部是这些袭击的目标。本文主要讨论的是我们对DealersChoice的研究,但值得注意的是,美国政府最近在民主党全国委员会(DNC)被黑客入侵事件中把许多与该组织相关的攻击归咎于俄罗斯。(Sofacy,也被称为APT28,往往被称隶属于俄罗斯)

PaloAltoNetworks客户可通过以下方式免受“DealersChoice”文件和SofacyCarberp有效载荷的攻击:

焀ildfire检测到的判定为恶意的已知样本

熕幸阎腃2在PAN-DB中被归类为恶意

烼raps能够阻止“DealersChoice”使用的攻击代码

AutoFocus客户可以通过以下方式收集“DealersChoice”和SofacyCarberp的其他信息:

烡ealersChoice创建的AutoFocus标签

熡行Ц涸嘏浜螦utoFocus中的SofacyCarberp标签


微信扫描分享本文到朋友圈
扫码关注5G通信官方公众号,免费领取以下5G精品资料
  • 2、回复“6G31”免费领取《基于云网融合的6G关键技术白皮书
  • 3、回复“IM6G”免费领取《6G典型场景和关键能力白皮书
  • 4、回复“SPN2”免费领取《中国移动SPN2.0技术白皮书
  • 5、回复“LTKJ7”免费领取《联通科技周17本白皮书合集
  • 6、回复“5g-a”免费领取《中国联通5G-A通感算融合技术白皮书
  • 7、回复“URLLC”免费领取《中国联通5GURLLC技术白皮书
  • 8、回复“LDSL”免费领取《中国移动算力网络技术白皮书
  •   最热通信招聘

      最新招聘信息

    最新技术文章

    最新论坛贴子