近日Unit 42在表示，俄罗斯黑客组织“奇幻熊”（Fancy Bear，又被称为Sofacy、Sednit、STRONTIUM或APT28）对欧洲政府机构进行了攻击。与之前的攻击活动一样，该组织仍采用了Flash漏洞利用框架DealersChoice，但这次使用了一个更新版本。

早在2016年10月，Unit 42就对奇幻熊”所使用Flash漏洞利用框架DealersChoice进行了初步分析。在当时的攻击活动中，Unit 42发现了包含嵌入式OLE Word文档的Rich Text File（RTF）文件，其中还包含嵌入式Adobe Flash（.SWF）文件。这说明该组织的目的在于利用Flash漏洞，而非Microsoft Word漏洞。

Unit 42表示，此次发现的新版DealersChoice使用了类似技术手段——从C2服务器上获取恶意Flash对象，但Flash对象的内部机制与最初分析的原始样本相比存在显着差异。

其中一个差异是一个特别聪明的逃避技巧，并且是之前从未看到过的。对于之前版本的DealersChoice来说，一旦受害者打开了诱饵文档，其嵌入的Flash对象会立即加载并开始恶意任务。但在最近的活动中，只有当受害者滚动到Flash对象所嵌入的文档特定页数时，Flash对象才会被加载。此外，新版DealersChoice需要与C2服务器进行多次交互才能成功利用终端系统。

具体来讲，基于新版DealersChoice攻击的成功需要满足以下几个条件：

• 收件人必须打开Microsoft Word诱饵文档；
• 收件人必须滚动到文档的第三页，因为只有这一页才会运行Flash对象；
• Flash对象必须联系活动的C2服务器以下载包含漏洞代码的其他Flash对象；
• 最初的Flash对象必须联系相同的C2服务器才能下载辅助有效载荷；
• 收件人的主机上必须安装有易受攻击的Flash版本。

如文章最开头提到的那样，新的攻击活动针对了欧洲政府机构。鱼叉式网络钓鱼电子邮件以“国防与安全2018年大会议程”为主题，作为附件的诱饵文件名为“Defense＆Security 2018 Conference Agenda.docx”。

一个包含ActionScript脚本的Flash对象被嵌入在文档的第三页，被用来利用受害者系统安装恶意负载。Flash对象在文档中显示为一个极小的小黑框，甚至粗略看来只是一个小黑点。根据Unit 42的说法，这是一种反沙盒技术，因为它需要在文档显示任何恶意活动之前进行人机交互。

另外，前面提到的ActionScript脚本似乎来源于一个名为“f4player”的开源视频播放器。这个播放器在GitHub被免费分享，体积很小，只有10kb（带皮肤文件）。

无论怎样，事实证明“奇幻熊”仍在使用DealersChoice作为其主要攻击武器。虽然他们对恶意脚本的内部结构进行了修改，但是仍然通过直接从C2服务器获取恶意Flash对象和有效载荷，这一点始终没有改变。

与之前活动不同的是，新版DealersChoice已经开始了使用DOCX作为诱饵文档，并添加了需要受害者滚动到文档特定页数才能触发恶意Flash对象的机制以及需要用户交互的反沙盒技术。这是“奇幻熊”之前没有过的表现，也说明该组织虽然仍依赖于已经成熟的攻击技术，但同时也在为提高其攻击成功率做出改变。