Fancy Bear kasutab ühe klõpsuga vea ärakasutamiseks Nuke Threat meelitust

Täiustatud püsiv ohurühm Fancy Bear on taga a andmepüügikampaania mis kasutab tuumasõja tont, et ära kasutada teadaolevat ühe klõpsuga Microsofti viga. Eesmärk on edastada pahavara, mis võib varastada Chrome'i, Firefoxi ja Edge'i brauserite mandaate.

Malwarebytes Threat Intelligence'i teadlaste sõnul on Venemaaga seotud APT rünnakud seotud Venemaa ja Ukraina sõjaga. Nad teatavad, et Fancy Bear surub peale pahatahtlikke dokumente, mis on relvastatud ärakasutamisega Follina (CVE-2022-30190), tuntud Microsofti ühe klõpsuga viga, vastavalt a blogi postitus avaldatud sel nädalal.

"See on esimene kord, kui oleme jälginud APT28, kasutades Follinat oma operatsioonides," kirjutasid teadlased postituses. Fancy Bear on tuntud ka kui APT28, Strontium ja Sofacy.

20. juunil jälgisid Malwarebytesi teadlased esimest korda relvastatud dokumenti, mis laadib alla ja käivitab esmalt .Neti varguse. teatas Google. Google'i ohuanalüüsi rühm (TAG) ütles, et Fancy Bear on seda varastajat juba kasutanud Ukraina kasutajate sihtimiseks.

Ukraina arvutihädaabimeeskond (CERT-UA) ka iseseisvalt avastatud Malwarebytesi andmetel pahatahtlik dokument, mida Fancy Bear hiljutises andmepüügikampaanias kasutas.

Bear on the Loose

CERT-UA varem tuvastatud Fancy Bear on üks arvukatest APT-dest, mis lööb Ukrainat küberrünnakutega paralleelselt veebruari lõpus alanud Vene vägede sissetungiga. Arvatakse, et rühmitus tegutseb Vene luure käsul, et koguda agentuurile kasulikku teavet.

Varem on Fancy Beari seostatud valimistele suunatud rünnakutega Ameerika Ühendriikides ja Euroopa, Samuti häkkimine spordi- ja dopinguvastaste agentuuride vastu 2020. aasta olümpiamängudega seotud.

Teadlased märkisid Follina esmakordselt lipuga aprillis, kuid alles mais kas see oli ametlikult identifitseeritud kui nullpäeva, ühe klõpsuga ärakasutamine. Follina on seotud Microsofti tugidiagnostika tööriistaga (MSDT) ja kasutab ms-msdt-protokolli, et laadida Wordist või muudest Office'i dokumentidest avamisel pahatahtlikku koodi.

Viga on ohtlik mitmel põhjusel, millest mitte vähem oluline on selle lai rünnakupind, kuna see mõjutab põhimõtteliselt kõiki, kes kasutavad Microsoft Office'i kõigis praegu toetatud Windowsi versioonides. Eduka ärakasutamise korral võivad ründajad saada kasutajaõigused süsteemi tõhusaks ülevõtmiseks ja programmide installimiseks, andmete vaatamiseks, muutmiseks või kustutamiseks või uute kontode loomiseks.

Microsoft paigas hiljuti Follina oma Juuni plaaster teisipäev vabastatakse, kuid see jääb aktiivse ärakasutamise all ohutegurid, sealhulgas teadaolevad APT-d.

Tuumarünnaku oht

Fancy Bear'i Follina kampaania sihib kasutajaid e-kirjadega, mis sisaldavad pahatahtlikku RTF-faili nimega "Tuumaterrorism väga reaalne oht", et püüda saada ohvrite hirmudest, et sissetung Ukrainasse kasvab tuumakonfliktiks, teatasid teadlased postituses. Dokumendi sisu on an artikkel Rahvusvaheliste suhete rühmitusest Atlantic Council, mis uurib võimalust, et Putin kasutab Ukraina sõjas tuumarelvi.

Pahatahtlik fail kasutab faili Document.xml.rels manustatud kaugmalli, et tuua HTML-i kaugfail URL-ilt http://kitten-268[.]frge[.]io/article[.]html. Teadlased ütlesid, et HTML-fail kasutab seejärel JavaScripti kutset aadressile window.location.href, et laadida ja käivitada kodeeritud PowerShelli skript, kasutades skeemi ms-msdt MSProtocol URI.

PowerShell laadib lõpliku kasuliku koormuse – .Neti-varguse variandi, mille Google on varem tuvastanud Ukrainas teistes Fancy Beari kampaaniates. Kui varastaja vanim variant kasutas võltsitud veateate hüpikakent, et juhtida kasutajate tähelepanu kõrvale, siis tuumateemalises kampaanias kasutatud variant seda ei tee, ütlesid teadlased.

Muude funktsioonide osas on hiljuti nähtud variant "peaaegu identne" varasemaga, "vaid mõne väiksema ümberteguri ja mõne täiendava unerežiimi käsuga", lisasid nad.

Nagu ka eelmise variandi puhul, on varastaja põhieesmärk varastada andmeid, sealhulgas veebisaidi mandaate, nagu kasutajanimi, parool ja URL, mitmest populaarsest brauserist, sealhulgas Google Chrome'ist, Microsoft Edge'ist ja Firefoxist. Teadlaste sõnul kasutab pahavara seejärel IMAP-i e-posti protokolli andmete väljafiltreerimiseks oma käsu- ja juhtimisserverisse samamoodi nagu varasem variant, kuid seekord teisele domeenile.

"Selle varguse vana variant ühendas andmete väljafiltreerimiseks e-postiga [.]sartoc.com (144.208.77.68), " kirjutasid nad. „Uus variant kasutab sama meetodit, kuid erinevat domeeni, www.specialityllc[.]com. Huvitaval kombel asuvad mõlemad Dubais.

Uurijad lisasid, et veebisaitide omanikel pole APT28-ga tõenäoliselt midagi pistmist, kuna rühm kasutab lihtsalt ära hüljatud või haavatavaid saite.