除了这个新的手段,我们还发现了两个不同的嵌入式SWF文件的变体:第一个是包含有压缩有效攻击载荷的独立版本,我们称之为 “DealersChoice.A” ﹔第二个变体是一个更加模块化的版本,部署有额外的反分析技术,我们称之为 “DealersChoice.B” 。
“DealersChoice.B” 的发现显示最初的 “DealersChoice.A” 变体代码可能已演变。此外,从 “DealersChoice” 中的工件可以看出Sofacy创建它的目的,是为了同时针对Windows和OSX操作系统进行攻击,因为使用Adobe Flash文档,“DealersChoice” 便可跨越不同平台。
Sofacy攻击的目标信息仍然有限,但我们能够确定乌克兰的国防承包商以及该地区某国家的外交部是这些袭击的目标。本文主要讨论的是我们对DealersChoice的研究,但值得注意的是,美国政府最近在民主党全国委员会(DNC)被黑客入侵事件中把许多与该组织相关的攻击归咎于俄罗斯。(Sofacy,也被称为APT 28,往往被称隶属于俄罗斯)
Palo Alto Networks客户可通过以下方式免受 “DealersChoice” 文件 和Sofacy Carberp有效载荷的攻击:
Wildfire检测到的判定为恶意的已知样本
所有已知的C2在PAN-DB中被归类为恶意
Traps能够阻止 “DealersChoice” 使用的攻击代码
AutoFocus客户可以通过以下方式收集 “DealersChoice” 和Sofacy Carberp的其他信息:
DealersChoice创建的AutoFocus标签
有效负载配合AutoFocus中的Sofacy Carberp标签