俄羅斯黑客組織“奇幻熊”利用Flash漏洞攻擊歐洲政府機構
責編:mhshi |2018-03-20 11:30:21近日Unit 42在表示,俄羅斯黑客組織“奇幻熊”(Fancy Bear,又被稱為Sofacy、Sednit、STRONTIUM或APT28)對歐洲政府機構進行了攻擊。與之前的攻擊活動一樣,該組織仍采用了Flash漏洞利用框架DealersChoice,但這次使用了一個更新版本。
早在2016年10月,Unit 42就對奇幻熊”所使用Flash漏洞利用框架DealersChoice進行了初步分析。在當時的攻擊活動中,Unit 42發現了包含嵌入式OLE Word文檔的Rich Text File(RTF)文件,其中還包含嵌入式Adobe Flash(.SWF)文件。這說明該組織的目的在于利用Flash漏洞,而非Microsoft Word漏洞。
Unit 42表示,此次發現的新版DealersChoice使用了類似技術手段——從C2服務器上獲取惡意Flash對象,但Flash對象的內部機制與最初分析的原始樣本相比存在顯著差異。
其中一個差異是一個特別聰明的逃避技巧,并且是之前從未看到過的。對于之前版本的DealersChoice來說,一旦受害者打開了誘餌文檔,其嵌入的Flash對象會立即加載并開始惡意任務。但在最近的活動中,只有當受害者滾動到Flash對象所嵌入的文檔特定頁數時,Flash對象才會被加載。此外,新版DealersChoice需要與C2服務器進行多次交互才能成功利用終端系統。
具體來講,基于新版DealersChoice攻擊的成功需要滿足以下幾個條件:
- 收件人必須打開Microsoft Word誘餌文檔;
- 收件人必須滾動到文檔的第三頁,因為只有這一頁才會運行Flash對象;
- Flash對象必須聯系活動的C2服務器以下載包含漏洞代碼的其他Flash對象;
- 最初的Flash對象必須聯系相同的C2服務器才能下載輔助有效載荷;
- 收件人的主機上必須安裝有易受攻擊的Flash版本。
如文章最開頭提到的那樣,新的攻擊活動針對了歐洲政府機構。魚叉式網絡釣魚電子郵件以“國防與安全2018年大會議程”為主題,作為附件的誘餌文件名為“Defense&Security 2018 Conference Agenda.docx”。
一個包含ActionScript腳本的Flash對象被嵌入在文檔的第三頁,被用來利用受害者系統安裝惡意負載。Flash對象在文檔中顯示為一個極小的小黑框,甚至粗略看來只是一個小黑點。根據Unit 42的說法,這是一種反沙盒技術,因為它需要在文檔顯示任何惡意活動之前進行人機交互。
另外,前面提到的ActionScript腳本似乎來源于一個名為“f4player”的開源視頻播放器。這個播放器在GitHub被免費分享,體積很小,只有10kb(帶皮膚文件)。
無論怎樣,事實證明“奇幻熊”仍在使用DealersChoice作為其主要攻擊武器。雖然他們對惡意腳本的內部結構進行了修改,但是仍然通過直接從C2服務器獲取惡意Flash對象和有效載荷,這一點始終沒有改變。
與之前活動不同的是,新版DealersChoice已經開始了使用DOCX作為誘餌文檔,并添加了需要受害者滾動到文檔特定頁數才能觸發惡意Flash對象的機制以及需要用戶交互的反沙盒技術。這是“奇幻熊”之前沒有過的表現,也說明該組織雖然仍依賴于已經成熟的攻擊技術,但同時也在為提高其攻擊成功率做出改變。