La APT está emparejando una falla conocida de Microsoft con un documento malicioso para cargar malware que captura las credenciales de los navegadores Chrome, Firefox y Edge.
El grupo de amenazas persistentes avanzadas Fancy Bear está detrás de un campaña de phishing que utiliza el espectro de la guerra nuclear para explotar una falla conocida de Microsoft con un solo clic. El objetivo es entregar malware que pueda robar credenciales de los navegadores Chrome, Firefox y Edge.
Los ataques del APT vinculado a Rusia están vinculados a la guerra entre Rusia y Ucrania, según los investigadores de Malwarebytes Threat Intelligence. Informan que Fancy Bear está impulsando documentos maliciosos armados con el exploit para Follina (CVE-2022-30190), una conocida falla de un clic de Microsoft, según un del blog publicado esta semana.
"Esta es la primera vez que observamos que APT28 usa Follina en sus operaciones", escribieron los investigadores en la publicación. Fancy Bear también se conoce como APT28, Strontium y Sofacy.
El 20 de junio, los investigadores de Malwarebytes observaron por primera vez el documento armado, que primero descarga y ejecuta un ladrón de .Net. reportado por google. El Grupo de Análisis de Amenazas (TAG) de Google dijo que Fancy Bear ya ha utilizado este ladrón para apuntar a usuarios en Ucrania.
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) también descubierto de forma independiente el documento malicioso utilizado por Fancy Bear en la reciente campaña de phishing, según Malwarebytes.
Oso suelto
CERT-UA previamente identificado Fancy Bear como una de las numerosas APT que atacan a Ucrania con ciberataques en paralelo con la invasión de las tropas rusas que comenzó a finales de febrero. Se cree que el grupo está operando a instancias de la inteligencia rusa para recopilar información que sería útil para la agencia.
En el pasado, Fancy Bear ha estado relacionado con ataques dirigidos a elecciones en los Estados Unidos y Europa, así como hacks contra agencias deportivas y antidopaje relacionados con los Juegos Olímpicos de 2020.
Los investigadores señalaron a Follina por primera vez en abril, pero solo en mayo ¿Se identificó oficialmente como un exploit de día cero con un solo clic? Follina está asociada con la herramienta de diagnóstico de soporte de Microsoft (MSDT) y usa el protocolo ms-msdt para cargar código malicioso de Word u otros documentos de Office cuando se abren.
El error es peligroso por varias razones, una de las cuales es su amplia superficie de ataque, ya que básicamente afecta a cualquiera que use Microsoft Office en todas las versiones compatibles actualmente de Windows. Si se explota con éxito, los atacantes pueden obtener derechos de usuario para hacerse cargo de un sistema e instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas.
Microsoft parchó recientemente a Follina en su Parche de junio martes suelta pero queda bajo explotación activa por los actores de amenazas, incluidas las APT conocidas.
Amenaza de ataque nuclear
La campaña Follina de Fancy Bear se dirige a los usuarios con correos electrónicos que contienen un archivo RTF malicioso llamado "Terrorismo nuclear: una amenaza muy real" en un intento de aprovecharse de los temores de las víctimas de que la invasión de Ucrania se convierta en un conflicto nuclear, dijeron los investigadores en la publicación. El contenido del documento es un artículo del grupo de asuntos internacionales Atlantic Council que explora la posibilidad de que Putin utilice armas nucleares en la guerra de Ucrania.
El archivo malicioso usa una plantilla remota incrustada en el archivo Document.xml.rels para recuperar un archivo HTML remoto desde la URL http://kitten-268[.]frge[.]io/article[.]html. Luego, el archivo HTML usa una llamada JavaScript a window.location.href para cargar y ejecutar un script codificado de PowerShell usando el esquema de URI ms-msdt MSProtocol, dijeron los investigadores.
El PowerShell carga la carga útil final, una variante del ladrón de .Net previamente identificado por Google en otras campañas de Fancy Bear en Ucrania. Mientras que la variante más antigua del ladrón usó un mensaje de error falso para distraer a los usuarios de lo que estaba haciendo, la variante utilizada en la campaña de temática nuclear no lo hace, dijeron los investigadores.
En otra funcionalidad, la variante vista recientemente es "casi idéntica" a la anterior, "con solo algunos refactores menores y algunos comandos de suspensión adicionales", agregaron.
Al igual que con la variante anterior, el objetivo principal del ladrón es robar datos, incluidas las credenciales del sitio web, como el nombre de usuario, la contraseña y la URL, de varios navegadores populares, incluidos Google Chrome, Microsoft Edge y Firefox. Luego, el malware usa el protocolo de correo electrónico IMAP para filtrar datos a su servidor de comando y control de la misma manera que lo hizo la variante anterior, pero esta vez a un dominio diferente, dijeron los investigadores.
“La variante anterior de este ladrón se conectaba a mail[.]sartoc.com (144.208.77.68) para extraer datos”, escribieron. “La nueva variante usa el mismo método pero un dominio diferente, www.specialityllc[.]com. Curiosamente, ambos están ubicados en Dubái”.
Lo más probable es que los propietarios de los sitios web no tengan nada que ver con APT28, ya que el grupo simplemente se aprovecha de los sitios abandonados o vulnerables, agregaron los investigadores.
- blockchain
- Coingenius
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Gobierno
- hacks
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- Vulnerabilidades
- seguridad del sitio web
- zephyrnet
