Для Adobe Flash разработан новый эксплоит


0-day yazvimostХакерская группировка Fancy Bear (другие названия Sofacy, APT28, Sednit, Pawn Storm или Strontium) стала применять для проведения атак новый набор инструментов. Впервые атаки с их использованием были зафиксированы в июле нынешнего года. По данным исследователей компании Palo Alto Networks, тогда группировка атаковала одного из украинских оборонных подрядчиков, а также Министерство иностранных дел соседнего государства.

В ходе фишинговых кампаний, Fancy Bear распространяла вредоносные документы под видом пресс-релизов Европейского парламента. В них говорилось о возможном вторжении РФ в Украину. Открыв такой документ на своем компьютере, жертва активировала загрузку дополнительного файла MS Word со встроенными OLE-объектами, содержащими SWF-файлы. Именно они и предназначались для сканирования целевой системы на наличие уязвимых версий Adobe Flash.

В атаках злоумышленники использовали две модификации SWF-файлов:

  • DealersChoice.A - представляет собой автономный набор эксплоитов, который позволяет определять текущую версию Adobe Flash, установленную на компьютере, а затем сбрасывает полезную нагрузку.
  • DealersChoice.B - модульная система, управляемая с C&C-сервера. После сканирования системы отправляет полученную информацию на управляющий сервер, который, в свою очередь, отправляет подходящий для данного компьютера пакет эксплоитов.


В ходе атак DealersChoice эксплуатирует уязвимости в Adobe Flash:

  • CVE-2016-4117;
  • CVE-2016-1019;
  • CVE-2015-7645.


DealersChoice - это эксплоит-платформа, позволяющая Sofacy эксплуатировать уязвимости в Adobe Flash. DealersChoice включает функционал для определения ОС, используемой целевой системой. В настоящее время группировка может работать как с окружением Windows, так и Apple OS X.


Обновлено (20.10.2016 00:51)