“DealersChoice”是黑客组织利用Flash Player漏洞的平台

        Palo Alto Networks 威胁情报小组Unit 42早前曾报告过由黑客组织Sofacy在去年发起的多项攻击，最近的一次便是有关Sofacy常用的一种工具的OS X变体— Komplex。在Komplex发动攻击的同一段时间内，我们收集了几个早前曾被Sofacy使用但未被发现的专用黑客工具。通过专用黑客工具来利用已知Microsoft Word漏洞是许多黑客组织的惯用伎俩，但在本案例中，我们发现了包含嵌入式OLE Word文档的Rich Text File(RTF)文件，其中还包含嵌入式Adobe Flash（.SWF）文件，其目的专为利用Flash漏洞而非Microsoft Word。我们把生成这些文档的工具命名为“DealersChoice”。

        除了这个新的手段，我们还发现了两个不同的嵌入式SWF文件的变体：第一个是包含有压缩有效攻击载荷的独立版本，我们称之为“DealersChoice.A” ?第二个变体是一个更加模块化的版本，部署有额外的反分析技术，我们称之为 “DealersChoice.B” 。

        “DealersChoice.B”  的发现显示最初的 “DealersChoice.A”  变体代码可能已演变。此外，从“DealersChoice”  中的工件可以看出Sofacy创建它的目的，是为了同时针对Windows和OSX操作系统进行攻击，因为使用Adobe Flash文档，“DealersChoice”  便可跨越不同平台。

        Sofacy攻击的目标信息仍然有限，但我们能够确定乌克兰的国防承包商以及该地区某国家的外交部是这些袭击的目标。本文主要讨论的是我们对DealersChoice的研究，但值得注意的是，美国政府最近在民主党全国委员会(DNC)被黑客入侵事件中把许多与该组织相关的攻击归咎于俄罗斯。（Sofacy，也被称为APT 28，往往被称隶属于俄罗斯）

Palo Alto Networks客户可通过以下方式免受 “DealersChoice”  文件和Sofacy Carberp有效载荷的攻击：

• Wildfire检测到的判定为恶意的已知样本
• 所有已知的C2在PAN-DB中被归类为恶意
• Traps能够阻止 “DealersChoice”   使用的攻击代码

AutoFocus客户可以通过以下方式收集“DealersChoice” 和Sofacy Carberp的其他信息：

• DealersChoice创建的AutoFocus标签
• 有效负载配合AutoFocus中的Sofacy Carberp标签

        更多详情，可阅读博文全文：http://researchcenter.paloaltonetworks.com/2016/10/unit42-dealerschoice-sofacys-flash-player-exploit-platform/

关于Palo Alto Networks

        Palo Alto Networks 为引领网络安全新时代的下一代安全企业，可为全球数以万计的企业保护应用，免受网络威胁。Palo Alto Networks极具颠覆性的安全平台所提供的安全性远高于传统或单点产品，采用创新方法及高度差异化的网络威胁防御功能，确保企业运营安全，并保护企业最重要的资产。更多内容请浏览http://www.paloaltonetworks.com。

标签： 安全 代码 漏洞 美国 企业 网络 网络安全

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。