压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Palo Alto 網(wǎng)絡(luò)公司表示，Sofacy團(tuán)伙將目標(biāo)鎖定在烏克蘭國防部以及周邊某國的外交部。

Sofacy網(wǎng)絡(luò)間諜小組，又被稱作Fancy Bear、APT28、 Sednit、 Pawn Storm，以及 Strontium。該組織開發(fā)了新型黑客工具，并且在今年夏天的攻擊活動中已經(jīng)投入使用。

Sofacy假借歐洲議會新聞部門的名義騙取收件人的信任，使用釣魚郵件向受害者發(fā)送惡意文件。

隱藏在多層office文件中的Flash漏洞利用代碼

該黑客組織通過發(fā)送標(biāo)題為《俄羅斯可能攻擊烏克蘭》的釣魚郵件來吸引目標(biāo)收件的注意。

據(jù)Palo Alto介紹，當(dāng)受害人打開這些文件時(shí)，他們會看到截然不同的內(nèi)容，只是一些從國際新聞中復(fù)制粘貼的文本罷了。而背地里，原始文件會通過嵌入的OLE對象加載另一個word文檔，其中包含Adobe Flash SWF 文件。

這些雙嵌套的office文件會試圖在用戶的個人電腦中利用未打補(bǔ)丁的flash漏洞。

Sofacy 開發(fā)新的Flash漏洞利用框架

研究人員表示，他們通過調(diào)查發(fā)現(xiàn)了使用該攻擊策略的兩次攻擊事件，在這兩次攻擊事件中攻擊者部署了兩個不同的嵌入Flash SWF惡意文件變種，將他們統(tǒng)稱為“DealersChoice”。

攻擊者在8月的一周時(shí)間內(nèi)同時(shí)部署了兩個版本，DealersChoice.A 和 DealersChoice.B。

兩者之間的差異很明顯。DealersChoice.A是一個自包含的開發(fā)包，而DealersChoice.B是一個模塊化的系統(tǒng)，可與在線指令和控制服務(wù)器進(jìn)行通信。

對于DealersChoice.A來說，惡意軟件會分析當(dāng)前本地系統(tǒng)的Flash版本，并運(yùn)行其中包含的有效攻擊載荷。而在DealersChoice.B中，初始模塊會首先掃描整個系統(tǒng)并將Flash版本信息發(fā)送至服務(wù)器。然后將合適攻擊載荷發(fā)送至受害者的PC端。

DealersChoice使用的Flash漏洞有CVE-2016-4117、CVE-2016-1019和 CVE-2015-7645。

安全專家懷疑DealersChoice可能是Sofacy開發(fā)的新的漏洞利用框架的產(chǎn)物。兩種變種是兩個單獨(dú)的工具還是由A進(jìn)化成了B，這還不得而知 。

基礎(chǔ)設(shè)備與以往的Sofacy攻擊相同

Palo Alto 研究人員表示，調(diào)查顯示，發(fā)送這些釣魚郵件的服務(wù)器以及C&C服務(wù)器的主機(jī)都與Sofacy先前的攻擊活動有關(guān) ，該APT組織使用相同email注冊域名。

他們還說，DealersChoice 是一個漏洞利用代碼開發(fā)平臺，這個平臺可以讓Sofacy攻擊小組利用Adobe Flash的漏洞快速開發(fā)出漏洞利用代碼。跨平臺漏洞明顯是Sofacy的攻擊重點(diǎn)，因?yàn)樗麄冊?DealersChoice中添加了判斷當(dāng)前操作系統(tǒng)版本的代碼，用來確定攻擊目標(biāo)的操作系統(tǒng)。”

安全公司還補(bǔ)充道，“這些檢索都是為蘋果公司的OSX操作系統(tǒng)設(shè)計(jì)的，結(jié)合我們發(fā)現(xiàn)的Sofacy 的 Komplex OSX 木馬，可以知道該威脅團(tuán)伙能夠在windows和apple兩種環(huán)境中運(yùn)行自如。”