Palo Alto Networks 威胁情报小组Unit 42早前曾报告过由黑客组织Sofacy在去年发起的多项攻击，最近的一次便是有关 Sofacy常用的一种工具的OS X变体 — Komplex。在Komplex发动攻击的同一段时间内，我们收集了几个早前曾被Sofacy使用但未被发现的专用黑客工具。通过专用黑客工具来利用已知Microsoft Word漏洞是许多黑客组织的惯用伎俩，但在本案例中，我们发现了包含嵌入式OLE Word文档的Rich Text File(RTF)文件，其中还包含嵌入式Adobe Flash(.SWF)文件，其目的专为利用Flash漏洞而非 Microsoft Word。我们把生成这些文档的工具命名为 “DealersChoice”。

　　除了这个新的手段，我们还发现了两个不同的嵌入式SWF文件的变体：第一个是包含有压缩有效攻击载荷的独立版本，我们称之为 “DealersChoice.A” ﹔第二个变体是一个更加模块化的版本，部署有额外的反分析技术，我们称之为 “DealersChoice.B” 。

　　“DealersChoice.B” 的发现显示最初的 “DealersChoice.A” 变体代码可能已演变。此外，从 “DealersChoice” 中的工件可以看出Sofacy创建它的目的，是为了同时针对Windows和OSX操作系统进行攻击，因为使用Adobe Flash文档，“DealersChoice” 便可跨越不同平台。

　　Sofacy攻击的目标信息仍然有限，但我们能够确定乌克兰的国防承包商以及该地区某国家的外交部是这些袭击的目标。本文主要讨论的是我们对DealersChoice的研究，但值得注意的是，美国政府最近在民主党全国委员会(DNC)被黑客入侵事件中把许多与该组织相关的攻击归咎于俄罗斯。(Sofacy，也被称为APT 28，往往被称隶属于俄罗斯)

　　Palo Alto Networks客户可通过以下方式免受 “DealersChoice” 文件 和Sofacy Carberp有效载荷的攻击：

　　Ÿ Wildfire检测到的判定为恶意的已知样本

　　Ÿ 所有已知的C2在PAN-DB中被归类为恶意

　　Ÿ Traps能够阻止 “DealersChoice” 使用的攻击代码

　　AutoFocus客户可以通过以下方式收集 “DealersChoice” 和Sofacy Carberp的其他信息：

　　Ÿ DealersChoice创建的AutoFocus标签

　　Ÿ 有效负载配合AutoFocus中的Sofacy Carberp标签

　　责任编辑：DJ编辑