Cyber Attack
Sofacy griff EU-Regierungsbehörde mit Flash-Technik „DealersChoice“ an
Spear-Phishing-E-Mail-Angriffe mit Security Conference Agenda
Die Security Forscher der Unit42 haben am 12. und 14. März beobachtet, dass die Hackergruppe Sofacy einen Angriff auf eine europäische Regierungsbehörde durchgeführt hat. Die hierbei verwendeten aktualisierten DealersChoice-Dokumente dienten dazu, ein bösartiges Flash-Objekt von einem C2-Server zu laden. Die inneren Mechanismen des Flash-Objekts enthielten jedoch signifikante Unterschiede im Vergleich zu den früher von Palo Alto Networks bereits analysierten ursprünglichen DealersChoice-Samples.
Beim aktuellen Angriff im März 2018 verschickten die Angreifer eine Spear-Phishing-E-Mail mit der Betreffzeile „Defense & Security 2018 Conference Agenda“ und einem gleichnamigen Word-Anhang (.docx). Das beigefügte Dokument enthielt eine Konferenzagenda, die die Sofacy-Gruppe anscheinend direkt von der Website für die besagte Konferenz kopiert hatte.
Einer der Unterschiede zur früheren Taktik war eine besonders clevere Verschleierungstechnik: Bei den vorherigen Iterationen von DealersChoice-Samples würde das Flash-Objekt sofort bösartige Aufgaben laden und starten. Bei den jüngsten Angriffen wird das Flash-Objekt nur geladen, wenn der Benutzer den gesamten Inhalt des Zustelldokuments durchscrollt und die dritte Seite aufruft, in die das Flash-Objekt eingebettet ist. Dies deutet darauf hin, dass die Sofacy-Gruppe zuversichtlich ist, dass die anvisierten Personen am Inhalt stark interessiert sind, um das gesamte Dokument durchzublättern. Außerdem benötigt DealersChoice mehrere Interaktionen mit einem aktiven C2-Server, um ein Endsystem erfolgreich auszunutzen. Das Flash-Objekt enthält ActionScript, mit dem versucht wird, auf dem System des Benutzers eine schädliche Nutzlast zu installieren.
Das aktuelle DealersChoice-Flash-Objekt weist einen ähnlichen Prozess wie die vorherigen Varianten auf. Es scheint jedoch, dass die Sofacy-Akteure geringfügige Änderungen an ihrem internen Code vorgenommen haben. Zudem haben sie offenbar ActionScript von einem Open-Source-Video-Player namens „f4player“ verwendet, der auf GitHub frei verfügbar ist. Der Sofacy-Entwickler modifizierte den ActionScript-Code des f4players, um zusätzlichen Code zum Laden eines eingebetteten Flash-Objekts hinzuzufügen. Hierzu gehört Code zum Entschlüsseln eines eingebetteten Flash-Objekts und ein Event-Handler, der eine neu hinzugefügte Funktion („skinEvent2“) aufruft, die das entschlüsselte Objekt abspielt.
Das Zustellungsdokument, das bei diesem Angriff verwendet wurde, wurde zuletzt von einem Benutzer namens „Nick Daemoji“ geändert, der in Zusammenhang mit früheren Sofacy-Lieferdokumenten auftaucht. Die vorherigen Dokumente, die diesen Benutzernamen verwendeten, waren mit Makros beladene Lieferdokumente, die SofacyCarberp-/Seduploader-Nutzlasten installierten. Diese Überschneidung deutet auch auf ein ähnliches Social-Engineering-Thema bei diesen beiden Kampagnen hin, da stets Inhalte von anstehenden Militär- als auch Verteidigungskonferenzen als Lockmittel verwendet wurden.
Die Sofacy-Hacker verwendeten somit weiterhin ihr DealersChoice-Framework, um Flash-Schwachstellen auszunutzen. In der neuesten Variante hat Sofacy die schädlichen Skripte modifiziert, folgt jedoch weiterhin dem gleichen Prozess, der bei früheren Varianten verwendet wurde. Die erforderliche Benutzerinteraktion stellte sich als interessante Anti-Sandbox-Technik heraus, die bei dieser Gruppe in der Vergangenheit nicht beobachtet werden konnte.
