未加星标

【国际资讯】Sofacy APT组织开发新的Flash漏洞利用框架

字体大小 | |
[业界资讯 所属分类 业界资讯 | 发布者 店小二04 | 时间 | 作者 红领巾 ] 0人收藏点击收藏
【国际资讯】Sofacy APT组织开发新的Flash漏洞利用框架 2016-10-19 16:36:13 来源:安全客 作者:默白
【国际资讯】Sofacy APT组织开发新的Flash漏洞利用框架

Sofacy网络间谍小组,又被称作Fancy Bear、APT28、 Sednit、 Pawn Storm,以及 Strontium。该组织开发了新型黑客工具,并且在今年夏天的攻击活动中已经投入使用。

Palo Alto 网络公司表示,该团伙将目标锁定在乌克兰国防部以及周边某国的外交部。

Sofacy假借欧洲议会新闻部门的名义骗取收件人的信任,使用钓鱼邮件向受害者发送恶意文件。


隐藏在多层office文件中的Flash漏洞利用代码

该黑客组织通过发送标题为《俄罗斯可能攻击乌克兰》的钓鱼邮件来吸引目标收件的注意。

据Palo Alto介绍,当受害人打开这些文件时,他们会看到截然不同的内容,只是一些从国际新闻中复制粘贴的文本罢了。而背地里,原始文件会通过嵌入的OLE对象加载另一个word文档,其中包含Adobe Flash SWF 文件。

这些双嵌套的office文件会试图在用户的个人电脑中利用未打补丁的flash漏洞。


Sofacy 开发新的Flash漏洞利用框架

研究人员表示,他们通过调查发现了使用该攻击策略的两次攻击事件,在这两次攻击事件中攻击者部署了两个不同的嵌入Flash SWF恶意文件变种,将他们统称为“DealersChoice”。

攻击者在8月的一周时间内同时部署了两个版本,DealersChoice.A 和 DealersChoice.B。

两者之间的差异很明显。DealersChoice.A是一个自包含的开发包,而DealersChoice.B是一个模块化的系统,可与在线指令和控制服务器进行通信。

对于DealersChoice.A来说,恶意软件会分析当前本地系统的Flash版本,并运行其中包含的有效攻击载荷。而在DealersChoice.B中,初始模块会首先扫描整个系统并将Flash版本信息发送至服务器。然后将合适攻击载荷发送至受害者的PC端。

DealersChoice使用的Flash漏洞有CVE-2016-4117、CVE-2016-1019和 CVE-2015-7645。


【国际资讯】Sofacy APT组织开发新的Flash漏洞利用框架

安全专家怀疑DealersChoice可能是Sofacy开发的新的漏洞利用框架的产物。两种变种是两个单独的工具还是由A进化成了B,这还不得而知 。


基础设备与以往的Sofacy攻击相同

Palo Alto 研究人员表示,调查显示,发送这些钓鱼邮件的服务器以及C&C服务器的主机都与Sofacy先前的攻击活动有关 ,该APT组织使用相同email注册域名。

他们还说,DealersChoice 是一个漏洞利用代码开发平台,这个平台可以让Sofacy攻击小组利用Adobe Flash的漏洞快速开发出漏洞利用代码。跨平台漏洞明显是Sofacy的攻击重点,因为他们在 DealersChoice中添加了判断当前操作系统版本的代码,用来确定攻击目标的操作系统。”

安全公司还补充道,“这些检索都是为苹果公司的OSX操作系统设计的,结合我们发现的Sofacy 的 Komplex OSX 木马,可以知道该威胁团伙能够在windows和apple两种环境中运行自如。”


【国际资讯】Sofacy APT组织开发新的Flash漏洞利用框架
【国际资讯】Sofacy APT组织开发新的Flash漏洞利用框架 本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:http://news.softpedia.com/news/sofacy-apt-develops-new-flash-player-exploit-platform-called-dealerschoice-509413.shtml

本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件

分页:12
转载请注明
本文标题:【国际资讯】Sofacy APT组织开发新的Flash漏洞利用框架
本站链接:http://www.codesec.net/view/484742.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 业界资讯 | 评论(0) | 阅读(28)