科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全Palo Alto Networks最新披露:“DealersChoice” 是黑客组织Sofacy利用Flash Player漏洞的平台

Palo Alto Networks最新披露:“DealersChoice” 是黑客组织Sofacy利用Flash Player漏洞的平台

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Palo Alto Networks 威胁情报小组Unit 42早前曾报告过由黑客组织Sofacy在去年发起的多项攻击,最近的一次便是有关 Sofacy常用的一种工具的OS X变体 — Komplex。

来源:ZD至顶网安全频道 2016年10月24日

关键字: Palo Alto Networks 网络攻击

  • 评论
  • 分享微博
  • 分享邮件

Palo Alto Networks内容节选如下:

Palo Alto Networks 威胁情报小组Unit 42早前曾报告过由黑客组织Sofacy在去年发起的多项攻击,最近的一次便是有关 Sofacy常用的一种工具的OS X变体 — Komplex。在Komplex发动攻击的同一段时间内,我们收集了几个早前曾被Sofacy使用但未被发现的专用黑客工具。通过专用黑客工具来利用已知Microsoft Word漏洞是许多黑客组织的惯用伎俩,但在本案例中,我们发现了包含嵌入式OLE Word文档的Rich Text File(RTF)文件,其中还包含嵌入式Adobe Flash(.SWF)文件,其目的专为利用Flash漏洞而非 Microsoft Word。我们把生成这些文档的工具命名为“DealersChoice”。

除了这个新的手段,我们还发现了两个不同的嵌入式SWF文件的变体:第一个是包含有压缩有效攻击载荷的独立版本,我们称之为 “DealersChoice.A” ﹔第二个变体是一个更加模块化的版本,部署有额外的反分析技术,我们称之为  “DealersChoice.B” 。

“DealersChoice.B”  的发现显示最初的  “DealersChoice.A”  变体代码可能已演变。此外,从“DealersChoice”  中的工件可以看出Sofacy创建它的目的,是为了同时针对Windows和OSX操作系统进行攻击,因为使用Adobe Flash文档,“DealersChoice”  便可跨越不同平台。

Sofacy攻击的目标信息仍然有限,但我们能够确定乌克兰的国防承包商以及该地区某国家的外交部是这些袭击的目标。本文主要讨论的是我们对DealersChoice的研究,但值得注意的是,美国政府最近在民主党全国委员会(DNC)被黑客入侵事件中把许多与该组织相关的攻击归咎于俄罗斯。(Sofacy,也被称为APT 28,往往被称隶属于俄罗斯)

Palo Alto Networks客户可通过以下方式免受  “DealersChoice”  文件 和Sofacy Carberp有效载荷的攻击:

  • Wildfire检测到的判定为恶意的已知样本
  • 所有已知的C2在PAN-DB中被归类为恶意
  • Traps能够阻止  “DealersChoice”   使用的攻击代码

AutoFocus客户可以通过以下方式收集 “DealersChoice” 和Sofacy Carberp的其他信息:

  • DealersChoice创建的AutoFocus标签
  • 有效负载配合AutoFocus中的Sofacy Carberp标签

——作者: Palo Alto Networks 威胁情报小组Unit 42工程师Robert Falcone 和  Bryan Lee

更多详情,可阅读博文全文:

http://researchcenter.paloaltonetworks.com/2016/10/unit42-dealerschoice-sofacys-flash-player-exploit-platform/

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章