“Dealers Choice” 是黑客組織Sofacy利用Flash Player漏洞的平臺

發(fā)布: 2016-10-21 17:20 | 作者: | 來源:      

2016年10月21日16:09 來源:移動通信網(wǎng)T|T

【移動通信網(wǎng)】PaloAltoNetworks威脅情報小組Unit42早前曾報告過由黑客組織Sofacy在去年發(fā)起的多項攻擊,最近的一次便是有關(guān)Sofacy常用的一種工具的OSX變體—Komplex。在Komplex發(fā)動攻擊的同一段時間內(nèi),我們收集了幾個早前曾被Sofacy使用但未被發(fā)現(xiàn)的專用黑客工具。通過專用黑客工具來利用已知MicrosoftWord漏洞是許多黑客組織的慣用伎倆,但在本案例中,我們發(fā)現(xiàn)了包含嵌入式OLEWord文檔的RichTextFile(RTF)文件,其中還包含嵌入式AdobeFlash(.SWF)文件,其目的專為利用Flash漏洞而非MicrosoftWord。我們把生成這些文檔的工具命名為“DealersChoice”。

除了這個新的手段,我們還發(fā)現(xiàn)了兩個不同的嵌入式SWF文件的變體:第一個是包含有壓縮有效攻擊載荷的獨(dú)立版本,我們稱之為“DealersChoice.A”﹔第二個變體是一個更加模塊化的版本,部署有額外的反分析技術(shù),我們稱之為“DealersChoice.B”。

“DealersChoice.B”的發(fā)現(xiàn)顯示最初的“DealersChoice.A”變體代碼可能已演變。此外,從“DealersChoice”中的工件可以看出Sofacy創(chuàng)建它的目的,是為了同時針對Windows和OSX操作系統(tǒng)進(jìn)行攻擊,因為使用AdobeFlash文檔,“DealersChoice”便可跨越不同平臺。

Sofacy攻擊的目標(biāo)信息仍然有限,但我們能夠確定烏克蘭的國防承包商以及該地區(qū)某國家的外交部是這些襲擊的目標(biāo)。本文主要討論的是我們對DealersChoice的研究,但值得注意的是,美國政府最近在民主黨全國委員會(DNC)被黑客入侵事件中把許多與該組織相關(guān)的攻擊歸咎于俄羅斯。(Sofacy,也被稱為APT28,往往被稱隸屬于俄羅斯)

PaloAltoNetworks客戶可通過以下方式免受“DealersChoice”文件和SofacyCarberp有效載荷的攻擊:

焀ildfire檢測到的判定為惡意的已知樣本

熕幸閻腃2在PAN-DB中被歸類為惡意

烼raps能夠阻止“DealersChoice”使用的攻擊代碼

AutoFocus客戶可以通過以下方式收集“DealersChoice”和SofacyCarberp的其他信息:

烡ealersChoice創(chuàng)建的AutoFocus標(biāo)簽

熡行Ц涸嘏浜螦utoFocus中的SofacyCarberp標(biāo)簽


微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號,免費(fèi)領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費(fèi)領(lǐng)取《中國移動:5G網(wǎng)絡(luò)AI應(yīng)用典型場景技術(shù)解決方案白皮書
  • 2、回復(fù)“5G6G”免費(fèi)領(lǐng)取《5G_6G毫米波測試技術(shù)白皮書-2022_03-21
  • 3、回復(fù)“YD6G”免費(fèi)領(lǐng)取《中國移動:6G至簡無線接入網(wǎng)白皮書
  • 4、回復(fù)“LTBPS”免費(fèi)領(lǐng)取《《中國聯(lián)通5G終端白皮書》
  • 5、回復(fù)“ZGDX”免費(fèi)領(lǐng)取《中國電信5GNTN技術(shù)白皮書
  • 6、回復(fù)“TXSB”免費(fèi)領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費(fèi)領(lǐng)取《中國移動算力并網(wǎng)白皮書
  • 8、回復(fù)“5GX3”免費(fèi)領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
    		•

    本周熱點(diǎn)本月熱點(diǎn)

     

      最熱通信招聘

      最新招聘信息