Кибергруппировка Fancy Bear начала пользоваться новым набором утилит. Как сообщают эксперты Palo Alto Networks, хакеры с помощью этих инструментов осуществляли кибератаки против Министерства иностранных дел Украины и одного из местных предприятий военно-промышленного комплекса.
Посредством фишинга хакеры из Fancy Bear распространяли вредоносные файлы, замаскированные под пресс-релизы Европейского парламента, содержавшие информацию о возможном вторжении российских войск в Украину. После того, как жертва открывала файл, происходила загрузка на компьютер дополнительного документа Word с внедренными OLE-объектами, которые, в свою очередь, содержали SWF-файлы, предназначенные для мониторинга системы на предмет наличия уязвимых версий Adobe Flash.
В ходе своих атак хакеры пользовались двумя разновидностями SWF-файлов: DealersChoice.A и DealersChoice.B. Как утверждают специалисты, в их функционале присутствуют значительные различия. DealersChoice.A является автономным набором эксплоитов, а DealersChoice.B – это модульная система, управление которой осуществляется с помощью командного сервера.
DealersChoice.A выясняет, какая именно версия Adobe Flash установлена на компьютере, а после загружает вредоносное программное обеспечение. В свою очередь, DealersChoice.B по окончании сканирования системы передает полученные данные на командный сервер, который затем осуществляет отправку набора эксплоитов, подходящего для конкретного компьютера. Во время атаки DealersChoice пользуется тремя разными уязвимостями в Adobe Flash.
Кроме того, эксперты отмечают, что DealersChoice функционирует на компьютерах под управлением Windows и macOS.