Мир: Fancy Bear разработала новый эксплоит для Adobe Flash

2

В арсенале специализирующейся на кибершпионаже группировки Fancy Bear, известной как Sofacy, APT28, Sednit, Pawn Storm или Strontium, появился новый набор инструментов, который хакеры применяли в атаках в течение минувшего лета. По данным исследователей компании Palo Alto Networks, группировка атаковала одного из украинских оборонных подрядчиков, а также Министерство иностранных дел соседнего государства.

В ходе фишинговых кампаний Fancy Bear распространяла вредоносные документы под видом пресс-релизов Европейского парламента, в которых говорилось о возможном вторжении РФ в Украину. После открытия документа на компьютер жертвы загружался дополнительный файл MS Word со встроенными OLE-объектами, содержащими SWF-файлы, предназначенными для сканирования целевой системы на наличие уязвимых версий Adobe Flash.

В атаках злоумышленники использовали две модификации SWF-файлов – DealersChoice.A и DealersChoice.B. По словам специалистов, их функциональность значительно отличается. DealersChoice.A представляет собой автономный набор эксплоитов, в то время как DealersChoice.B – модульная система, управляемая с C&C-сервера.

Первый вариант определяет текущую версию Adobe Flash, установленную на компьютере, а затем сбрасывает полезную нагрузку. В отличие DealersChoice.A версия DealersChoice.B после сканирования системы отправляет полученную информацию на управляющий сервер, который, в свою очередь, отправляет подходящий для данного компьютера пакет эксплоитов. В ходе атак DealersChoice эксплуатирует уязвимости CVE-2016-4117, CVE-2016-1019 и CVE-2015-7645 в Adobe Flash.

“DealersChoice – это эксплоит-платформа, позволяющая Sofacy эксплуатировать уязвимости в Adobe Flash. По всей видимости, основную ставку группировка делает на кросс-платформенные эксплоиты, так как DealersChoice включает функционал для определения ОС, используемой целевой системой”, – отметили исследователи, добавив, что группировка может работать как с окружением Windows, так и Apple OS X. (Новости/NovostIT)