亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

Palo Alto 網(wǎng)絡(luò)公司表示，Sofacy團(tuán)伙將目標(biāo)鎖定在烏克蘭國(guó)防部以及周邊某國(guó)的外交部。

Sofacy網(wǎng)絡(luò)間諜小組，又被稱作Fancy Bear、APT28、 Sednit、 Pawn Storm，以及 Strontium。該組織開(kāi)發(fā)了新型黑客工具，并且在今年夏天的攻擊活動(dòng)中已經(jīng)投入使用。

Sofacy假借歐洲議會(huì)新聞部門的名義騙取收件人的信任，使用釣魚(yú)郵件向受害者發(fā)送惡意文件。

隱藏在多層office文件中的Flash漏洞利用代碼

該黑客組織通過(guò)發(fā)送標(biāo)題為《俄羅斯可能攻擊烏克蘭》的釣魚(yú)郵件來(lái)吸引目標(biāo)收件的注意。

據(jù)Palo Alto介紹，當(dāng)受害人打開(kāi)這些文件時(shí)，他們會(huì)看到截然不同的內(nèi)容，只是一些從國(guó)際新聞中復(fù)制粘貼的文本罷了。而背地里，原始文件會(huì)通過(guò)嵌入的OLE對(duì)象加載另一個(gè)word文檔，其中包含Adobe Flash SWF 文件。

這些雙嵌套的office文件會(huì)試圖在用戶的個(gè)人電腦中利用未打補(bǔ)丁的flash漏洞。

Sofacy 開(kāi)發(fā)新的Flash漏洞利用框架

研究人員表示，他們通過(guò)調(diào)查發(fā)現(xiàn)了使用該攻擊策略的兩次攻擊事件，在這兩次攻擊事件中攻擊者部署了兩個(gè)不同的嵌入Flash SWF惡意文件變種，將他們統(tǒng)稱為“DealersChoice”。

攻擊者在8月的一周時(shí)間內(nèi)同時(shí)部署了兩個(gè)版本，DealersChoice.A 和 DealersChoice.B。

兩者之間的差異很明顯。DealersChoice.A是一個(gè)自包含的開(kāi)發(fā)包，而DealersChoice.B是一個(gè)模塊化的系統(tǒng)，可與在線指令和控制服務(wù)器進(jìn)行通信。

對(duì)于DealersChoice.A來(lái)說(shuō)，惡意軟件會(huì)分析當(dāng)前本地系統(tǒng)的Flash版本，并運(yùn)行其中包含的有效攻擊載荷。而在DealersChoice.B中，初始模塊會(huì)首先掃描整個(gè)系統(tǒng)并將Flash版本信息發(fā)送至服務(wù)器。然后將合適攻擊載荷發(fā)送至受害者的PC端。

DealersChoice使用的Flash漏洞有CVE-2016-4117、CVE-2016-1019和 CVE-2015-7645。

安全專家懷疑DealersChoice可能是Sofacy開(kāi)發(fā)的新的漏洞利用框架的產(chǎn)物。兩種變種是兩個(gè)單獨(dú)的工具還是由A進(jìn)化成了B，這還不得而知 。

基礎(chǔ)設(shè)備與以往的Sofacy攻擊相同

Palo Alto 研究人員表示，調(diào)查顯示，發(fā)送這些釣魚(yú)郵件的服務(wù)器以及C&C服務(wù)器的主機(jī)都與Sofacy先前的攻擊活動(dòng)有關(guān) ，該APT組織使用相同email注冊(cè)域名。

他們還說(shuō)，DealersChoice 是一個(gè)漏洞利用代碼開(kāi)發(fā)平臺(tái)，這個(gè)平臺(tái)可以讓Sofacy攻擊小組利用Adobe Flash的漏洞快速開(kāi)發(fā)出漏洞利用代碼?？缙脚_(tái)漏洞明顯是Sofacy的攻擊重點(diǎn)，因?yàn)樗麄冊(cè)?DealersChoice中添加了判斷當(dāng)前操作系統(tǒng)版本的代碼，用來(lái)確定攻擊目標(biāo)的操作系統(tǒng)?！?/p>

安全公司還補(bǔ)充道，“這些檢索都是為蘋果公司的OSX操作系統(tǒng)設(shè)計(jì)的，結(jié)合我們發(fā)現(xiàn)的Sofacy 的 Komplex OSX 木馬，可以知道該威脅團(tuán)伙能夠在windows和apple兩種環(huán)境中運(yùn)行自如?！?/p>