Sofacy(又被称为“Fancy Bear”、“Sednit”、“STRONTIUM”或“APT28”)是一个至少从2008年就开始活跃的并且使用俄语的高级威胁组织。其攻击目标主要为全球的军事机构和政府机构。该攻击组织自从2014年进入公众视线后,一直没有停止其攻击行动。不仅如此,安全专家最近还发现Sofacy组织在攻击中使用了最新的和更高级的工具。
根据Palo Alto Networks公司所言,该组织主要针对乌克兰国防组织以及邻国的外交部等进行APT攻击。Sofacy通过伪装成欧洲议会出版社的鱼叉式网络钓鱼邮件,传播恶意文件感染受害者。
Flash exploits隐藏于多层办公文件中
该鱼叉式钓鱼邮件通过发布一个关于“俄罗斯可能入侵乌克兰”的恶意文件来吸引收件人的注意。据Palo Alto公司的研究人员表示,一旦受害者打开这些文件,他们将看到众多虚假文件,包含从国际新闻媒体上复制粘贴下来的文本。而在这些文件下面,原始文件将通过对象连接与嵌入技术(Object Linking and Embedding,OLE)加载另一个Word文档,其中包含Adobe Flash SWF文件。
这些双层嵌套(double-nested)的办公文件将试图利用用户的个人电脑中未打补丁的Flash漏洞。
Sofacy研发了新型Flash开发框架
安全研究人员称,他们发现了两种截然不同的攻击,使用这些策略部署两种不同版本的嵌入式Flash SWF文件,他们称其为“DealersChoice”。
攻击者在8月相连的两个星期内,部署了两个版本:DealersChoice.A和DealersChoice.B。
两者之间的差异非常明显,DealersChoice.A是一个独立的开发包(exploitation package),而DealersChoice.B则是一个模块化系统,与一个在线指挥和控制(C&C)服务器之间进行交流。
对于DealersChoice.A,该恶意软件分析当前Flash版本的本地系统,并传递包含其中的一个有效载荷。对于DealersChoice.B,初始模块会扫描系统并通知服务器,只发送适当的开发包到受害者的电脑中。
DealersChoice利用的漏洞包括:CVE-2016-4117,CVE-2016-1019和CVE-2015-7645等。
?
安全专家怀疑,DealersChoice是Sofacy组织研发的新开发框架的产品。我们暂时还不清楚这两个变体是否是两种独立的工具,又或者DealersChoice.B是否由DealersChoice.A演变而来。
基础设施与Sofacy此前的攻击活动相关
Palo Alto研究人员表示,鱼叉式钓鱼邮件发往的基础设施,及指挥和控制(C&C)服务器所在的托管地,都与Sofacy组织此前的攻击活动相关。因为该组织使用了相同的电子邮件地址注册了域名,这些域名与当前这些攻击和此前的攻击活动有关。
Palo Alto安全专家表示:
“DealersChoice是一个漏洞平台,允许Sofacy组织利用Adobe Flash中的漏洞发起攻击。跨平台漏洞是Sofacy组织的明显关注点,因为DealersChoice中包含检测功能,能确定目标系统的操作系统。这些检测还可以针对苹果的OS X操作系统,加上我们此前发现的Sofacy组织开发的Komplex OSX木马,意味着该组织能够在windows和苹果操作环境中实现操作。”
关于Komplex OSX木马
2016年9月,安全研究人员发现新型Mac OS?X木马“Komplex”,研究人员称该木马与网络间谍组织Sofacy有关。因为Komplex木马病毒中的恶意编码与黑客组织Sofacy曾通过钓鱼邮件攻击美国政府的Carberp木马病毒相同。至少可以确定的是,Carberp木马病毒和Komplex木马病毒使用至少是同一个设计框架。
该病毒以“俄罗斯太空计划”作为诱饵,而且针对Mac OS X操作系统。在入侵装有Mac OS X 系统的电脑后,会自动保存一个声称与俄国太空计划有关的PDF文件,用户打开文件后就会中招。
Palo Alto称,截至目前,已知的Komplex木马有三个版本,分别可用来攻击x64架构、x86架构以及x64和x86架构。目前有多少人感染了Komplex病毒还是未知数。
