Sofacy(又被稱為“Fancy Bear”、“Sednit”、“STRONTIUM”或“APT28”)是一個至少從2008年就開始活躍的并且使用俄語的高級威脅組織。其攻擊目標主要為全球的軍事機構和政府機構。該攻擊組織自從2014年進入公眾視線后,一直沒有停止其攻擊行動。不僅如此,安全專家最近還發現Sofacy組織在攻擊中使用了最新的和更高級的工具。
根據Palo Alto Networks公司所言,該組織主要針對烏克蘭國防組織以及鄰國的外交部等進行APT攻擊。Sofacy通過偽裝成歐洲議會出版社的魚叉式網絡釣魚郵件,傳播惡意文件感染受害者。
Flash exploits隱藏于多層辦公文件中
該魚叉式釣魚郵件通過發布一個關于“俄羅斯可能入侵烏克蘭”的惡意文件來吸引收件人的注意。據Palo Alto公司的研究人員表示,一旦受害者打開這些文件,他們將看到眾多虛假文件,包含從國際新聞媒體上復制粘貼下來的文本。而在這些文件下面,原始文件將通過對象連接與嵌入技術(Object Linking and Embedding,OLE)加載另一個Word文檔,其中包含Adobe Flash SWF文件。
這些雙層嵌套(double-nested)的辦公文件將試圖利用用戶的個人電腦中未打補丁的Flash漏洞。
Sofacy研發了新型Flash開發框架
安全研究人員稱,他們發現了兩種截然不同的攻擊,使用這些策略部署兩種不同版本的嵌入式Flash SWF文件,他們稱其為“DealersChoice”。
攻擊者在8月相連的兩個星期內,部署了兩個版本:DealersChoice.A和DealersChoice.B。
兩者之間的差異非常明顯,DealersChoice.A是一個獨立的開發包(exploitation package),而DealersChoice.B則是一個模塊化系統,與一個在線指揮和控制(C&C)服務器之間進行交流。
對于DealersChoice.A,該惡意軟件分析當前Flash版本的本地系統,并傳遞包含其中的一個有效載荷。對于DealersChoice.B,初始模塊會掃描系統并通知服務器,只發送適當的開發包到受害者的電腦中。
DealersChoice利用的漏洞包括:CVE-2016-4117,CVE-2016-1019和CVE-2015-7645等。
安全專家懷疑,DealersChoice是Sofacy組織研發的新開發框架的產品。我們暫時還不清楚這兩個變體是否是兩種獨立的工具,又或者DealersChoice.B是否由DealersChoice.A演變而來。
基礎設施與Sofacy此前的攻擊活動相關
Palo Alto研究人員表示,魚叉式釣魚郵件發往的基礎設施,及指揮和控制(C&C)服務器所在的托管地,都與Sofacy組織此前的攻擊活動相關。因為該組織使用了相同的電子郵件地址注冊了域名,這些域名與當前這些攻擊和此前的攻擊活動有關。
Palo Alto安全專家表示:
“DealersChoice是一個漏洞平臺,允許Sofacy組織利用Adobe Flash中的漏洞發起攻擊。跨平臺漏洞是Sofacy組織的明顯關注點,因為DealersChoice中包含檢測功能,能確定目標系統的操作系統。這些檢測還可以針對蘋果的OS X操作系統,加上我們此前發現的Sofacy組織開發的Komplex OSX木馬,意味著該組織能夠在Windows和蘋果操作環境中實現操作。”
關于Komplex OSX木馬
2016年9月,安全研究人員發現新型Mac OS?X木馬“Komplex”,研究人員稱該木馬與網絡間諜組織Sofacy有關。因為Komplex木馬病毒中的惡意編碼與黑客組織Sofacy曾通過釣魚郵件攻擊美國政府的Carberp木馬病毒相同。至少可以確定的是,Carberp木馬病毒和Komplex木馬病毒使用至少是同一個設計框架。
該病毒以“俄羅斯太空計劃”作為誘餌,而且針對Mac OS X操作系統。在入侵裝有Mac OS X 系統的電腦后,會自動保存一個聲稱與俄國太空計劃有關的PDF文件,用戶打開文件后就會中招。
Palo Alto稱,截至目前,已知的Komplex木馬有三個版本,分別可用來攻擊x64架構、x86架構以及x64和x86架構。目前有多少人感染了Komplex病毒還是未知數。
*原文鏈接:softpedia、米雪兒編譯,轉載請注明來自FreeBuf黑客與極客
京公網安備 11010502049343號