安全公司Palo Alto Networks 威胁情报小组Unit 42在上周表示,他们在3月12日和3月14日观察到俄罗斯黑客组织“奇幻熊”(Fancy Bear,又被称为Sofacy、Sednit、STRONTIUM或APT28)对欧洲政府机构进行了攻击。与之前的攻击活动一样,该组织仍采用了Flash漏洞利用框架DealersChoice,但这次使用了一个更新版本。
早在2016年10月,Unit 42就对奇幻熊”所使用Flash漏洞利用框架DealersChoice进行了初步分析。在当时的攻击活动中,Unit 42发现了包含嵌入式OLE Word文档的Rich Text File(RTF)文件,其中还包含嵌入式Adobe Flash(.SWF)文件。这说明该组织的目的在于利用Flash漏洞,而非Microsoft Word漏洞。
Unit 42表示,此次发现的新版DealersChoice使用了类似技术手段——从C2服务器上获取恶意Flash对象,但Flash对象的内部机制与最初分析的原始样本相比存在显着差异。
其中一个差异是一个特别聪明的逃避技巧,并且是之前从未看到过的。对于之前版本的DealersChoice来说,一旦受害者打开了诱饵文档,其嵌入的Flash对象会立即加载并开始恶意任务。但在最近的活动中,只有当受害者滚动到Flash对象所嵌入的文档特定页数时,Flash对象才会被加载。此外,新版DealersChoice需要与C2服务器进行多次交互才能成功利用终端系统。
具体来讲,基于新版DealersChoice攻击的成功需要满足以下几个条件:
- 收件人必须打开Microsoft Word诱饵文档;
- 收件人必须滚动到文档的第三页,因为只有这一页才会运行Flash对象;
- Flash对象必须联系活动的C2服务器以下载包含漏洞代码的其他Flash对象;
- 最初的Flash对象必须联系相同的C2服务器才能下载辅助有效载荷;
- 收件人的主机上必须安装有易受攻击的Flash版本。
如文章最开头提到的那样,新的攻击活动针对了欧洲政府机构。鱼叉式网络钓鱼电子邮件以“国防与安全2018年大会议程”为主题,作为附件的诱饵文件名为“Defense&Security 2018 Conference Agenda.docx”。
一个包含ActionScript脚本的Flash对象被嵌入在文档的第三页,被用来利用受害者系统安装恶意负载。Flash对象在文档中显示为一个极小的小黑框,甚至粗略看来只是一个小黑点。根据Unit 42的说法,这是一种反沙盒技术,因为它需要在文档显示任何恶意活动之前进行人机交互。
另外,前面提到的ActionScript脚本似乎来源于一个名为“f4player”的开源视频播放器。这个播放器在GitHub被免费分享,体积很小,只有10kb(带皮肤文件)。
无论怎样,事实证明“奇幻熊”仍在使用DealersChoice作为其主要攻击武器。虽然他们对恶意脚本的内部结构进行了修改,但是仍然通过直接从C2服务器获取恶意Flash对象和有效载荷,这一点始终没有改变。
与之前活动不同的是,新版DealersChoice已经开始了使用DOCX作为诱饵文档,并添加了需要受害者滚动到文档特定页数才能触发恶意Flash对象的机制以及需要用户交互的反沙盒技术。这是“奇幻熊”之前没有过的表现,也说明该组织虽然仍依赖于已经成熟的攻击技术,但同时也在为提高其攻击成功率做出改变。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。