黑客组织“奇幻熊”携新式武器意图攻击欧洲政府机构
安全公司Palo Alto Networks威胁情报组42号上周说,他们于3月14日,3月12日观察到俄罗斯黑客组织“奇幻熊”(Fancy Bear,又被称为Sofacy、Sednit、STRONTIUM或APT28)袭击了政府欧洲机构。与以前的攻击一样,该组织仍然使用Flash漏洞框架DealersChoice,但这一次它使用的是更新版本。
早在2016年10月,Unit 42就使用框架DealersChoice对幻想熊使用的Flash漏洞进行了初步分析。在攻击过程中,Unit 42发现了包含嵌入的OLE Word文档的Rich Text File(RTF)文件,该文档还包含嵌入的Adobe Flash(。swf)文件。CISSP培训这意味着组织的目标是利用Flash漏洞,而不是Microsoft Word。
Unit 42表示,发现新的DealersChoice使用了类似的技巧 - 从C2获取服务器上的恶意Flash对象,但分析内部机制和初始Flash对象存在显着差异,比原始示例差异显着。
其中一个区别是以前从未见过的特别聪明的逃生技巧。对于先前版本的DealersChoice,一旦受害者打开诱饵文档,嵌入式Flash对象将立即加载并启动恶意任务。但是在最近的事件中,只有在受害者滚动到Flash对象中嵌入的特定页数时才会加载Flash对象CISSP培训。此外,新的DealersChoice需要与C2服务器进行多次交互才能成功使用终端系统。
具体而言,新的DealersChoice攻击的成功需要以下条件:
收件人必须打开Microsoft Word诱饵文档;
收件人必须滚动到文档的第三页,因为只有此页面将运行Flash对象;
Flash对象必须联系活动的C2服务器以下载包含漏洞代码的其他Flash对象;
原始Flash对象必须连接到相同的C2服务器才能下载辅助有效负载;
一个易受攻击的Flash版本必须安装在收件人的主机上。
正如文章开头提到的那样,新的袭击针对的是欧洲政府机构。CISSP培训鱼叉式网络钓鱼邮件是“国防和安全2018年大会议程”的主题。该诱饵文件被称为“国防和安全2018大会议程Docx”。
包含ActionScript脚本的Flash对象嵌入在文档的第三页,用于在受害者系统上安装恶意负载。 Flash对象在文档中显示为一个小黑盒子,甚至是一个小黑点。根据第42单元,这是一种反沙盒技术,因为它在文档显示任何恶意活动之前需要人机交互。
另外,前面提到的ActionScript脚本似乎来自一个名为f4player的开源视频播放器。玩家可以在GitHub上免费获得10kb的小文件(带有皮肤文件)。
无论如何,事实证明,“幻想熊”仍然使用DealersChoice作为其主要攻击武器。CISSP培训尽管他们修改了恶意脚本的内部结构,但他们仍然直接从C2服务器获取恶意Flash对象和有效载荷,这些从未改变过。
与之前的活动不同,新的DealersChoice已经开始使用DOCX作为诱饵文档,并且添加受害者需要滚动到文档的特定页面才能触发机制并需要用户与恶意Flash沙盒技术对象进行交互。这是一个迹象表明,“梦幻般的熊”以前没有出现过,该组织仍然依赖先进的攻击技术,但也正在改变它的成功率。