Europese overheidsorganisatie aangevallen door DealersChoice-variant

Abonneer je gratis op Techzine!

Palo Alto Networks laat weten dat zijn onderzoeksteam Unit42 een aanval heeft waargenomen op een Europese overheidsorganisatie met een geüpdatete variant van DealersChoice. Dit exploit platform gebruikt Microsoft Word-documenten om Adobe Flash-exploits te kunnen verspreiden. Deze zitten verweven in het bestand of worden direct geleverd door een command and control server.

De geüpdatete variant gebruikt een soortgelijk proces om kwaadaardige projeccten te verspreiden. Er is echter een techniek toegevoegd die men nog niet eerder waarnam. Waar normaliter het kwaadaardige Flash-object direct geladen werd bij het openen van het bestand, laadt deze zich nu alleen wanneer de gebruiker door het bestand scrolt en op de pagina terecht komt waarop het kwaadaardige Flash-object geplaatst is.

Verschillende stappen

Bij deze aanval wordt er een proces van vijf stappen doorlopen. Die ziet er als volgt uit:

  1. De gebruiker opent het bijgevoegde Word-document.
  2. De gebruiker scrolt naar pagina drie van het document, die het DealersChoice Flash object laadt.
  3. Het Flash-object moet contact leggen met een actieve C2-server om een nieuw Flash object met exploit code te downloaden.
  4. Er wordt door het Flash objectet contact gelegd met dezelfde C2-server om een tweede payload te downloaden.
  5. Het slachtoffer moet een kwetsbare Flash-versie geïnstalleerd hebben.

Het doelwit van de aanval was een Europese overheidsorganisatie, al deelt Palo Alto Networks hierover geen specifieke gegevens. De aanval vertrouwt op een spear-phishing e-mail met als onderwerp “Defence & Security 2018 Conference Agenda”. Hierin is het kwaadaardige bestand Defence & Security 2018 Conference Agenda.docx aanwezig. Deze bevat ook daadwerkelijk de agenda van het evenement, aangezien die gekopieerd is van de echte website.

Op de derde pagina treffen we vervolgens een afbeelding aan met het malafide Flash object. Op de foto staat informatie van een Nederlandse spreker. Rechts daarvan is een klein zwart puntje, waarin het kwaadaardige object verborgen zit. Palo Alto Networks noemt dit dan ook een interessante anti-sandbox techniek, aangezien er menselijke interactie vereist is voordat er malafide praktijken plaatsvinden.