Das APT kombiniert einen bekannten Microsoft-Fehler mit einem bösartigen Dokument, um Malware zu laden, die Anmeldeinformationen von Chrome-, Firefox- und Edge-Browsern abgreift.
Die Advanced Persistent Threat Group Fancy Bear steckt hinter a Phishing-Kampagne das das Gespenst eines Atomkriegs nutzt, um einen bekannten Ein-Klick-Microsoft-Fehler auszunutzen. Das Ziel ist die Bereitstellung von Malware, die Anmeldeinformationen aus den Browsern Chrome, Firefox und Edge stehlen kann.
Laut Forschern von Malwarebytes Threat Intelligence hängen die Angriffe der mit Russland verbundenen APT mit dem Krieg zwischen Russland und der Ukraine zusammen. Sie berichten, dass Fancy Bear bösartige Dokumente verbreitet, die mit dem Exploit für bewaffnet sind Follina (CVE-2022-30190), ein bekannter Ein-Klick-Fehler von Microsoft, laut a Blog-Post Diese Woche veröffentlicht.
„Dies ist das erste Mal, dass wir beobachten, dass APT28 Follina in seinem Betrieb einsetzt“, schrieben die Forscher in dem Beitrag. Fancy Bear ist auch bekannt als APT28, Strontium und Sofacy.
Am 20. Juni beobachteten Forscher von Malwarebytes erstmals das bewaffnete Dokument, das zuerst einen .Net-Stealer herunterlädt und ausführt von Google gemeldet. Laut Googles Threat Analysis Group (TAG) hat Fancy Bear diesen Stealer bereits eingesetzt, um Nutzer in der Ukraine anzugreifen.
Das Computer Emergency Response Team der Ukraine (CERT-UA) auch unabhängig entdeckt das bösartige Dokument, das laut Malwarebytes von Fancy Bear in der jüngsten Phishing-Kampagne verwendet wurde.
Tragen Sie auf dem Loose
CERT-UA zuvor identifiziert Fancy Bear als einer der zahlreichen APTs, die parallel zur Invasion russischer Truppen, die Ende Februar begann, die Ukraine mit Cyberangriffen bombardieren. Es wird angenommen, dass die Gruppe im Auftrag des russischen Geheimdienstes operiert, um Informationen zu sammeln, die für die Agentur nützlich wären.
In der Vergangenheit wurde Fancy Bear in Angriffe auf Wahlen verwickelt in den Vereinigten Staaten und Europa, sowie Hacks gegen Sport- und Anti-Doping-Agenturen im Zusammenhang mit den Olympischen Spielen 2020.
Forscher markierten Follina erstmals im April, aber erst im Mai Wurde es offiziell als Zero-Day-Ein-Klick-Exploit identifiziert? Follina ist dem Microsoft Support Diagnostic Tool (MSDT) zugeordnet und verwendet das ms-msdt-Protokoll, um schädlichen Code aus Word oder anderen Office-Dokumenten zu laden, wenn sie geöffnet werden.
Der Fehler ist aus mehreren Gründen gefährlich – nicht zuletzt wegen seiner breiten Angriffsfläche, da er im Grunde jeden betrifft, der Microsoft Office auf allen derzeit unterstützten Windows-Versionen verwendet. Bei erfolgreicher Ausnutzung können Angreifer Benutzerrechte erlangen, um effektiv ein System zu übernehmen und Programme zu installieren, Daten anzuzeigen, zu ändern oder zu löschen oder neue Konten zu erstellen.
Microsoft hat kürzlich Follina in seinem Patch gepatcht Juni Patch Dienstag loslassen, aber es bleibt unter aktivem Exploit durch Bedrohungsakteure, einschließlich bekannter APTs.
Bedrohung durch nuklearen Angriff
Die Follina-Kampagne von Fancy Bear richtet sich an Benutzer mit E-Mails, die eine bösartige RTF-Datei mit dem Titel „Nuclear Terrorism A Very Real Threat“ enthalten, um die Befürchtungen der Opfer auszunutzen, dass die Invasion der Ukraine zu einem Atomkonflikt eskalieren wird, sagten Forscher in dem Beitrag. Der Inhalt des Dokuments ist eine Artikel von der Gruppe für internationale Angelegenheiten Atlantic Council, die die Möglichkeit untersucht, dass Putin im Krieg in der Ukraine Atomwaffen einsetzen wird.
Die schädliche Datei verwendet eine in die Datei Document.xml.rels eingebettete Remote-Vorlage, um eine Remote-HTML-Datei von der URL http://kitten-268[.]frge[.]io/article[.]html abzurufen. Die HTML-Datei verwendet dann einen JavaScript-Aufruf an window.location.href, um ein verschlüsseltes PowerShell-Skript mit dem ms-msdt-MSProtocol-URI-Schema zu laden und auszuführen, sagten die Forscher.
Die PowerShell lädt die endgültige Nutzlast – eine Variante des .Net-Stealers, der zuvor von Google in anderen Fancy Bear-Kampagnen in der Ukraine identifiziert wurde. Während die älteste Variante des Stealers ein gefälschtes Fehlermeldungs-Popup verwendete, um die Benutzer von dem abzulenken, was er tat, tut dies die Variante, die in der Nuklearkampagne verwendet wurde, nicht, sagten Forscher.
In Bezug auf andere Funktionen ist die kürzlich gesehene Variante „fast identisch“ mit der früheren, „mit nur ein paar kleineren Refactors und einigen zusätzlichen Sleep-Befehlen“, fügten sie hinzu.
Wie bei der vorherigen Variante besteht der Hauptzweck des Stealers darin, Daten – einschließlich Website-Anmeldeinformationen wie Benutzername, Passwort und URL – aus mehreren gängigen Browsern zu stehlen, darunter Google Chrome, Microsoft Edge und Firefox. Die Malware verwendet dann das IMAP-E-Mail-Protokoll, um Daten auf die gleiche Weise wie die frühere Variante auf ihren Command-and-Control-Server zu exfiltrieren, diesmal jedoch in eine andere Domäne, sagten die Forscher.
„Die alte Variante dieses Stealers war mit mail[.]sartoc.com (144.208.77.68) verbunden, um Daten zu exfiltrieren“, schrieben sie. „Die neue Variante verwendet dieselbe Methode, aber eine andere Domain, www.specialityllc[.]com. Interessanterweise befinden sich beide in Dubai.“
Die Eigentümer der Websites haben höchstwahrscheinlich nichts mit APT28 zu tun, da die Gruppe einfach verlassene oder gefährdete Websites ausnutzt, fügten die Forscher hinzu.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://threatpost.com/fancy-bear-nuke-threat-lure/180056/
- :hast
- :Ist
- :nicht
- 20
- 2020
- 50
- 700
- 77
- a
- Nach
- Trading Konten
- aktiv
- Akteure
- hinzugefügt
- Zusätzliche
- Vorteil
- Angelegenheiten
- gegen
- Agentur
- Alle
- bereits
- ebenfalls
- an
- Analyse
- und
- jemand
- April
- APT
- SIND
- AS
- damit verbundenen
- At
- Attacke
- Anschläge
- Versuch
- Grundsätzlich gilt
- BE
- Denken Sie
- war
- begann
- hinter
- angenommen
- beide
- Browsern
- Fehler
- aber
- by
- rufen Sie uns an!
- namens
- Kampagnen (Campaign)
- Kampagnen
- CAN
- Tragen
- Übernehmen
- Chrome
- Code
- COM
- Computer
- Konflikt
- Sie
- Inhalt
- Rat
- erstellen
- Referenzen
- Zur Zeit
- Gefährlich
- technische Daten
- Übergeben
- Diagnose
- DID
- anders
- do
- Dokument
- Unterlagen
- die
- Dabei
- Domain
- Downloads
- Dubai
- Früher
- Edge
- effektiv
- Wahlen
- E-Mails
- eingebettet
- Notfall
- Fehler
- eskalieren
- ausführen
- Führt aus
- Ausnutzen
- Exploited
- erforscht
- Fälschung
- Ängste
- Februar
- wenige
- Reichen Sie das
- Finale
- Firefox
- Vorname
- erstes Mal
- markiert
- Fehler
- Aussichten für
- für
- Funktionalität
- Gewinnen
- Games
- sammeln
- Kundenziele
- Google Chrome
- Gruppe an
- Haben
- HTML
- http
- HTTPS
- identifiziert
- if
- in
- In anderen
- Einschließlich
- unabhängig
- Info
- infosec
- installieren
- Intelligenz
- International
- in
- Invasion
- IT
- SEINE
- JavaScript
- Juni
- nur
- bekannt
- Spät
- am wenigsten
- wahrscheinlich
- verknüpft
- Belastung
- Belastungen
- located
- Standorte
- Main
- Malware
- Malwarebytes
- max-width
- Nachricht
- Methode
- Microsoft
- Microsoft Edge
- Microsoft Office
- Moll
- vor allem warme
- Netto-
- Neu
- Newsletter
- nichts
- Kernenergie
- Atomwaffen
- Anzahl
- und viele
- beobachtet
- of
- Office
- Offiziell
- Alt
- älteste
- olympisch
- Olympische Spiele
- on
- EINEM
- geöffnet
- die
- Einkauf & Prozesse
- or
- Andere
- übrig
- Überblick
- Besitzer
- Paarung
- Parallel
- Passwort
- passt
- Patch
- Phishing
- Phishing-Kampagne
- Plato
- Datenintelligenz von Plato
- PlatoData
- Pop-up
- Beliebt
- Möglichkeit
- Post
- Powershell
- früher
- vorher
- Beute
- Programme
- Protokoll
- veröffentlicht
- Schieben
- Putin
- echt
- kürzlich
- kürzlich
- bezogene
- Release
- bleibt bestehen
- entfernt
- berichten
- Forscher
- Antwort
- Rechte
- russisch
- Said
- gleich
- Schema
- Skript
- gesehen
- Server
- mehrere
- einfach
- Seiten
- schlafen
- einige
- Gespenst
- Erfolgreich
- so
- Support
- Unterstützte
- Oberfläche
- System
- TAG
- Nehmen
- Einnahme
- Target
- Targeting
- Ziele
- Team
- Vorlage
- Terrorismus
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- dann
- vom Nutzer definierten
- fehlen uns die Worte.
- diese Woche
- Bedrohung
- Bedrohungsakteure
- Bedrohungsanalyse
- Gebunden
- Zeit
- zu
- Werkzeug
- Ukraine
- Ukraine-Krieg
- Vereinigt
- URI
- URL
- -
- benutzt
- Mitglied
- Nutzer
- verwendet
- Verwendung von
- Variante
- sehr
- Anzeigen
- Verwundbar
- Krieg
- Krieg in der Ukraine
- wurde
- Weg..
- Waffen
- Webseite
- Webseiten
- Woche
- GUT
- Was
- wann
- welche
- während
- breit
- werden wir
- Fenster
- Fenster
- mit
- Word
- würde
- schrieb
- XML
- Zephyrnet
