Unit 42 hat mehrere „bewaffnete“ Dokumente entdeckt, die eine Taktik verwenden, die zuvor bei der Sofacy-Gruppe noch nicht beobachtet wurde. Es geht dabei um die „Bewaffnung“ von Dokumenten mit Malware, um mit Hilfe von Flash-Dateien Schwachstellen in Microsoft-Word auszunutzen.
In diesem Fall wurden RTF-Dokumente entdeckt, die eingebettete OLE-Word-Dokumente und außerdem Adobe-Flash-Dateien (.swf) enthielten. Die Angreifer zielten aber offenbar eher auf Schwachstellen in Flash als in Microsoft-Word. Die Unit-42-Forscher haben das Tool, das diese Dokumente erzeugt, den Namen „DealersChoice“ gegeben.
Zusätzlich zur Entdeckung dieser neuen Taktik war Unit 42 in der Lage, zwei verschiedene Varianten der eingebetteten SWF-Dateien zu identifizieren: Die erste davon ist eine eigenständige Version mit einer komprimierten Nutzlast, die „DealersChoice.A“ benannt wurde. Die zweite Variante, „DealersChoice.B“, ist viel modularer aufgebaut und enthält zusätzliche Anti-Analyse-Techniken.
Die Verfügbarkeit von Daten zu den Angriffszielen der Sofacy-Gruppe war bislang begrenzt. Die Forscher waren dennoch in der Lage, einige Angriffsziele zu identifizieren. Basierend auf der Telemetrie von Palo Alto Networks fanden demnach die Angriffe, bei denen Dealerschoice-Dokumente ausgeliefert wurden, im August 2016 statt. Sie konzentrierten sich hauptsächlich auf Organisationen in Ländern, die Teil der ehemaligen Sowjetrepublik waren. So wurden die bösartigen Dokumente unter anderem an einen ukrainischen Verteidigungsunternehmer sowie ein Außenministerium eines Nationalstaates in derselben Region übermittelt, in beiden Fällen mittels Phishing-Angriffen. Es ist erwähnenswert, dass die US-Regierung viele der gleichen Kompromittierungsindikatoren kürzlich ebenfalls Aktivitäten in Russland zugeordnet hat. Sofacy, auch bekannt als APT 28, ist eine Gruppe, die seit längerem gemeinhin Akteuren in Russland zugeschrieben wird.
Dealerschoice ist somit eine Exploit-Plattform, die es der Sofacy-Gruppe ermöglicht, Schwachstellen in Adobe-Flash auszunutzen. Ebenso klar ist, dass Cross-Plattform-Exploits einen Fokus für Sofacy darstellen. So ist in Dealerschoice ein Check-Prozess enthalten, um das Betriebssystem des Zielsystems zu ermitteln. Die Entdeckung des Komplex-OSX-Trojaners kürzlich, deutet darauf hin, dass diese Gruppe in der Lage ist, sowohl in Windows- als auch in Apple-Umgebungen zu operieren. Die Analyse von Dealerschoice hat auch zur Entdeckung einer möglicherweise mehrschichtigen Infrastruktur geführt, die transparente Proxys nutzt, um den wahren Standort der Sofacy-C2-Server zu verbergen. (mh)
