Sofacy网络间谍小组,又被称作Fancy Bear、APT28、 Sednit、 Pawn Storm,以及 Strontium。该组织开发了新型黑客工具,并且在今年夏天的攻击活动中已经投入使用。
Palo Alto 网络公司表示,该团伙将目标锁定在乌克兰国防部以及周边某国的外交部。
Sofacy假借欧洲议会新闻部门的名义骗取收件人的信任,使用钓鱼邮件向受害者发送恶意文件。
隐藏在多层office文件中的Flash漏洞利用代码
该黑客组织通过发送标题为《俄罗斯可能攻击乌克兰》的钓鱼邮件来吸引目标收件的注意。
据Palo Alto介绍,当受害人打开这些文件时,他们会看到截然不同的内容,只是一些从国际新闻中复制粘贴的文本罢了。而背地里,原始文件会通过嵌入的OLE对象加载另一个word文档,其中包含Adobe Flash SWF 文件。
这些双嵌套的office文件会试图在用户的个人电脑中利用未打补丁的flash漏洞。
Sofacy 开发新的Flash漏洞利用框架
研究人员表示,他们通过调查发现了使用该攻击策略的两次攻击事件,在这两次攻击事件中攻击者部署了两个不同的嵌入Flash SWF恶意文件变种,将他们统称为“DealersChoice”。
攻击者在8月的一周时间内同时部署了两个版本,DealersChoice.A 和 DealersChoice.B。
两者之间的差异很明显。DealersChoice.A是一个自包含的开发包,而DealersChoice.B是一个模块化的系统,可与在线指令和控制服务器进行通信。
对于DealersChoice.A来说,恶意软件会分析当前本地系统的Flash版本,并运行其中包含的有效攻击载荷。而在DealersChoice.B中,初始模块会首先扫描整个系统并将Flash版本信息发送至服务器。然后将合适攻击载荷发送至受害者的PC端。
DealersChoice使用的Flash漏洞有CVE-2016-4117、CVE-2016-1019和 CVE-2015-7645。
安全专家怀疑DealersChoice可能是Sofacy开发的新的漏洞利用框架的产物。两种变种是两个单独的工具还是由A进化成了B,这还不得而知 。
基础设备与以往的Sofacy攻击相同
Palo Alto 研究人员表示,调查显示,发送这些钓鱼邮件的服务器以及C&C服务器的主机都与Sofacy先前的攻击活动有关 ,该APT组织使用相同email注册域名。
他们还说,DealersChoice 是一个漏洞利用代码开发平台,这个平台可以让Sofacy攻击小组利用Adobe Flash的漏洞快速开发出漏洞利用代码。跨平台漏洞明显是Sofacy的攻击重点,因为他们在 DealersChoice中添加了判断当前操作系统版本的代码,用来确定攻击目标的操作系统。”
安全公司还补充道,“这些检索都是为苹果公司的OSX操作系统设计的,结合我们发现的Sofacy 的 Komplex OSX 木马,可以知道该威胁团伙能够在windows和apple两种环境中运行自如。”