8 июля 2015 года исследовательский центр Palo Alto Networks — Unit42 с помощью платформы анализа угроз AutoFocus локализовал и исследовал вредоносную активность, которая распространялась с помощью фишинга, и была направлена на правительство США. Злоумышленники использовали уязвимость нулевого дня в Adobe Flash, о которой стало известно в ходе утечки данных Hacking Team.

Фишинговые атаки использовали ссылку на эксплойт Adobe Flash, размещенную на двух суб-доменах легитимного веб-сайта perrydale[.]com:, rpt.perrydale[.]com и report.perrydale[.]com, которые резолвились на один и тот же украинский IP-адрес 194.44.130.179. Местом нахождения Flash-эксплойта CVE-2015-5119, обнародованного в ходе взлома Hacking Team, были два адреса — rpt.perrydale[.]com/en/show.swf и report.perrydale[.]com/ema/show.swf. Успешное использование уязвимости приводит к заражению жертвы и загрузки дополнительной части вредоносного кода — payload-а «b.gif», который размещался там же, где и эксплойт. Анализ вредоносных Flash-файлов показал, что атака подобна предыдущим работам APT-группы известной под именем UPS или APT3, которая использовала в свое время неизвестный эксплойт CVE-2015-3113.

Actionscript

Вредоносный Flash-файл «show.swf» содержит ActionScript, который эксплуатирует уязвимость и выполняет запуск shell-кода для установки вредоноса. Файл show.swf состоит из следующих классов:

• MainClass.as
• MyClass.as
• MyClass1.as
• MyClass2.as
• MyUtils.as
• ShellWin32.as

Предварительный анализ имен классов выявил сходство с одним из обнародованных эксплойтов нулевого дня Adobe Flash, раскрытых после атаки на Hacking Team.

Сравнивая классы, которые ассоциировались с этими уязвимостями, исследовательский центр Palo Alto Networks обнаружил то, что MyClass.as, MyClass1.as, MyClass2.as, MyUtils.as и ShellWin32.as были общими как у вредоноса show.swf, так и в Flash-эксплойтах Hacking Team. Кроме того, есть несколько записей в логах и названия функций с переменными, которые идентичны содержанию классов в ActionScript разработанным группой UPS. Наибольшее сходство несет в себе функция “TryExpl” (MyClass.as), где одни и те же значения переменных запрограммированы для создания условий эксплуатации CVE-2015-5119 уязвимости. На Рис.1. показано часть кода функции “TryExpl”.

Рис. 1. Функция “TryExpl”

Пока анализировалась часть MainClass, из файла show.swf, исследователи с Unit42 обратили внимание на наличие функций из предыдущей целенаправленной атаки проведенной группой UPS с помощью эксплойта, который раньше тоже являлся неизвестным - CVE-2015-3113, его ActionScript можно посмотреть по ссылке: https://gist.github.com/mak/bd71962aae98ab0b0441

Имена общих функций, приведенных ниже, включают в себе код, используемый для манипуляций с типами данных, логирования, дешифрации и выполнения shell-кода в случае успешной эксплуатации уязвимости:

• decode
• hexToIntArray
• logMsg
• func_prepare
• hexToBin

Также в ActionScript-ах в обоих атаках используется одинаковая переменная «m_scKey» — она хранит в себе RC4-ключ, который используется для расшифровки shell-кода.

Shell-код

Когда Flash-уязвимость успешно эксплуатируется — выполняется shell-код, который извлекает и расшифровывает payload, встроенный в анимированное gif-изображение. В ходе анализа Unit42 не удалось получить вторую часть payload-а – «b.gif», полученный файл оказался не «боеспособным». Возможно это связанно с тем, что группа UPS обслуживала свои вредоносные payload-ы перед непосредственным запуском атаки на интересующие их жертвы.

Техника размещения payload-а, встроенного в gif-изображение, идентична shell-коду 5119 и 3113. Более того, в них используется один и тот же алгоритм и ключевые значения для дешифрации. В процессе параллельного сравнения двух shell-кодов обнаружилось только одно отличие – в 5119 есть дополнительная команда, подчеркнутая на Рис.2:

Рис. 2. shell-код 5119 и 3113

Выводы

Эти примеры показывают, как продвинутые APT-группы, такие как UPS, могут быстро использовать новые уязвимости в своих целенаправленных атаках. Учитывая те факторы, что или патчи для закрытия уязвимости зачастую доступны уже после проведения атаки, или организации не обновили вовремя свое программное обеспечение – традиционные методы обнаружения не справляются с задачей эффективной защиты. Выходом из такой ситуации является разворачивание полностью автоматизированной, поведенчески-превентивной системы, которая сможет снизить риски от целенаправленных атак на бизнес-процессы. Примером такой системы является решение –Traps от Palo Alto Networks.