駭客組織把檔案武器化：活用 Flash 漏洞跨平台發動攻擊

作者：Palo Alto Networks 威脅情報團隊 Unit 42 分析員 Robert Falcone 和 Bryan Lee

駭客攻擊手法萬變不離其中，而當中活用不同軟件之中的漏洞作為攻擊途徑，亦絕非新鮮事。早前 Unit 42 已報告過 Sofacy 組織於去年的各種攻擊，最近一次便是關於 Sofacy 組織常用的一種工具的 OS X 變體 — Komplex。在 Komplex 攻擊的同一段時間內，我們收集了幾個早前未被發現 Sofacy 組織使用的武器化檔案。

把檔案武器化以利用已知的 Microsoft Word 漏洞是許多黑客組織部署的常見技倆，但在本案例中，我們發現了包含嵌入式 OLE Word 文檔的 Rich Text File(RTF) 檔案，其中還包含嵌入式 Adobe Flash (.SWF) 檔案，其目的是專為利用 Flash 漏洞而非 Microsoft Word。我們把產生這些檔案的工具命名為「DealersChoice」。

除了發現這個新的手段，我們還識別了兩個嵌入 SWF 檔案的不同變體：第一個是包含壓縮有效載荷的獨立版本，我們稱之為「DealersChoice.A」﹔第二個變體是一個更模塊化的版本，能安裝額外的反分析技術，我們稱之為「DealersChoice.B」。

「DealersChoice.B」的發現顯示最初的「DealersChoice.A」變體代碼可能已演變。此外，從 「DealersChoice」中的工件可見 Sofacy 創建它的目的，是為了同時針對 Windows 和 OSX 操作系統作出攻擊，因為使用 Adobe Flash 檔案，「DealersChoice」便可跨越不同平台。

Sofacy 組織攻擊的目標資訊仍然有限，但我們能夠確定烏克蘭的國防承建商以及同一地區的某國家外交部是這些襲擊的目標；而更值得注意的是，美國政府最近在民主黨全國委員會(DNC)被黑客入侵事件中把許多與該組織相關的攻擊歸咎於俄羅斯。(Sofacy，也被稱為 APT 28，往往被稱隸屬於俄羅斯。)