Fancy Bear разработала новый эксплоит для Adobe Flash

Fancy Bear разработала новый эксплоит для Adobe Flash

В ходе атак хакеры эксплуатируют уязвимости CVE-2016-4117, CVE-2016-1019 и CVE-2015-7645 в Adobe Flash.

image

В арсенале специализирующейся на кибершпионаже группировки Fancy Bear, известной как Sofacy, APT28, Sednit, Pawn Storm или Strontium, появился новый набор инструментов, который хакеры применяли в атаках в течение минувшего лета. По данным исследователей компании Palo Alto Networks, группировка атаковала одного из украинских оборонных подрядчиков, а также Министерство иностранных дел соседнего государства.

В ходе фишинговых кампаний Fancy Bear распространяла вредоносные документы под видом пресс-релизов Европейского парламента, в которых говорилось о возможном вторжении РФ в Украину. После открытия документа на компьютер жертвы загружался дополнительный файл MS Word со встроенными OLE-объектами, содержащими SWF-файлы, предназначенными для сканирования целевой системы на наличие уязвимых версий Adobe Flash.

В атаках злоумышленники использовали две модификации SWF-файлов - DealersChoice.A и DealersChoice.B. По словам специалистов, их функциональность значительно отличается. DealersChoice.A представляет собой автономный набор эксплоитов, в то время как DealersChoice.B - модульная система, управляемая с C&C-сервера.

Первый вариант определяет текущую версию Adobe Flash, установленную на компьютере, а затем сбрасывает полезную нагрузку. В отличие DealersChoice.A версия DealersChoice.B после сканирования системы отправляет полученную информацию на управляющий сервер, который, в свою очередь, отправляет подходящий для данного компьютера пакет эксплоитов.

В ходе атак DealersChoice эксплуатирует уязвимости CVE-2016-4117, CVE-2016-1019 и CVE-2015-7645 в Adobe Flash.

«DealersChoice - это эксплоит-платформа, позволяющая Sofacy эксплуатировать уязвимости в Adobe Flash. По всей видимости, основную ставку группировка делает на кросс-платформенные эксплоиты, так как DealersChoice включает функционал для определения ОС, используемой целевой системой», - отметили исследователи, добавив, что группировка может работать как с окружением Windows, так и Apple OS X.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle