APT یک نقص شناخته شده مایکروسافت را با یک سند مخرب جفت می کند تا بدافزاری را بارگیری کند که اعتبارنامه ها را از مرورگرهای کروم، فایرفاکس و اج می گیرد.
گروه تهدید مداوم پیشرفته Fancy Bear پشت یک کمپین فیشینگ که از شبح جنگ هسته ای برای سوء استفاده از نقص شناخته شده مایکروسافت با یک کلیک استفاده می کند. هدف ارائه بدافزاری است که می تواند اعتبارنامه ها را از مرورگرهای کروم، فایرفاکس و اج بدزدد.
به گفته محققان Malwarebytes Threat Intelligence، حملات توسط APT مرتبط با روسیه با جنگ روسیه و اوکراین مرتبط است. آنها گزارش می دهند که Fancy Bear اسناد مخربی را که با این اکسپلویت مسلح شده اند، به کار می گیرد فولینا (CVE-2022-30190)، یک نقص شناخته شده مایکروسافت با یک کلیک، طبق a پست های وبلاگ این هفته منتشر شد
محققان در این پست نوشتند: «این اولین باری است که ما APT28 را با استفاده از Follina در عملیات خود مشاهده کردیم. خرس فانتزی با نام های APT28، Strontium و Sofacy نیز شناخته می شود.
در 20 ژوئن، محققان Malwarebytes برای اولین بار سند مسلح شده را مشاهده کردند که ابتدا یک دزد Net را دانلود و اجرا می کند. توسط گوگل گزارش شده است. گروه تحلیل تهدیدات گوگل (TAG) گفت Fancy Bear قبلا از این دزد برای هدف قرار دادن کاربران در اوکراین استفاده کرده است.
تیم پاسخگویی اضطراری کامپیوتری اوکراین (CERT-UA) نیز به طور مستقل کشف شده است به گفته Malwarebytes، سند مخرب مورد استفاده Fancy Bear در کمپین فیشینگ اخیر.
خرس در آزاد
CERT-UA قبلا شناسایی شده است Fancy Bear به عنوان یکی از APT های متعددی که به موازات تهاجم نیروهای روسی که در اواخر فوریه آغاز شد، اوکراین را با حملات سایبری کوبید. اعتقاد بر این است که این گروه به دستور اطلاعات روسیه برای جمع آوری اطلاعات مفید برای آژانس فعالیت می کند.
در گذشته Fancy Bear در حملاتی که انتخابات را هدف قرار داده بودند، مرتبط بوده است در ایالات متحده و اروپا، و همچنین هک علیه آژانس های ورزشی و ضد دوپینگ مربوط به بازی های المپیک 2020
محققان برای اولین بار فولینا را در آوریل علامت گذاری کردند، اما فقط در ماه می آیا به طور رسمی به عنوان یک اکسپلویت روز صفر و با یک کلیک شناسایی شد؟ Follina با ابزار تشخیصی پشتیبانی مایکروسافت (MSDT) مرتبط است و از پروتکل ms-msdt برای بارگیری کدهای مخرب از Word یا سایر اسناد آفیس پس از باز شدن آنها استفاده می کند.
این باگ به دلایل مختلفی خطرناک است – که کمترین آنها سطح حمله گسترده آن است، زیرا اساساً هر کسی را که از Microsoft Office در تمام نسخههای ویندوز پشتیبانی میشود تحت تأثیر قرار میدهد. در صورت سوء استفاده موفقیت آمیز، مهاجمان می توانند حقوق کاربر را برای تصاحب مؤثر سیستم و نصب برنامه ها، مشاهده، تغییر یا حذف داده ها یا ایجاد حساب های جدید به دست آورند.
مایکروسافت اخیراً فولینا را اصلاح کرده است ژوئن پچ سه شنبه آزاد شود اما باقی می ماند تحت بهره برداری فعال توسط عوامل تهدید، از جمله APTهای شناخته شده.
تهدید حمله هسته ای
محققان در این پست گفتند که کمپین فولینای Fancy Bear کاربرانی را با ایمیلهایی که حاوی یک فایل RTF مخرب به نام «تروریسم هستهای یک تهدید بسیار واقعی» هستند، هدف قرار میدهد تا ترس قربانیان را از تبدیل شدن تهاجم به اوکراین به یک درگیری هستهای شکار کند. محتوای سند یک مقاله از گروه امور بینالملل شورای آتلانتیک که احتمال استفاده پوتین از سلاح هستهای در جنگ اوکراین را بررسی میکند.
فایل مخرب از یک الگوی راه دور تعبیه شده در فایل Document.xml.rels برای بازیابی یک فایل HTML راه دور از URL http://kitten-268[.]frge[.]io/article[.]html استفاده می کند. به گفته محققان، فایل HTML سپس از فراخوانی جاوا اسکریپت به window.location.href برای بارگیری و اجرای یک اسکریپت کدگذاری شده PowerShell با استفاده از طرح URI ms-msdt MSProtocol استفاده می کند.
PowerShell بار نهایی را بارگیری میکند - نوعی از دزد .Net که قبلاً توسط Google در سایر کمپینهای Fancy Bear در اوکراین شناسایی شده بود. به گفته محققان، در حالی که قدیمیترین نوع سارق از یک پیغام خطای جعلی برای منحرف کردن حواس کاربران از کاری که انجام میداد استفاده میکرد، نوع مورد استفاده در کمپین هستهای اینطور نیست.
در دیگر قابلیتها، نسخهای که اخیراً مشاهده شده تقریباً مشابه نسخه قبلی است، «فقط با چند بازساز کوچک و برخی دستورات خواب اضافی».
مانند نسخه قبلی، هدف اصلی سارق سرقت داده ها - از جمله اعتبار وب سایت مانند نام کاربری، رمز عبور و URL - از چندین مرورگر محبوب از جمله Google Chrome، Microsoft Edge و Firefox است. به گفته محققان، این بدافزار سپس از پروتکل ایمیل IMAP برای استخراج دادهها به سرور فرمان و کنترل خود به همان روشی که نسخه قبلی انجام میداد، استفاده میکند، اما این بار به یک دامنه دیگر.
آنها نوشتند: «نوع قدیمی این دزد به mail[.]sartoc.com (144.208.77.68) متصل شد تا داده ها را استخراج کند. «نوع جدید از همان روش اما دامنه متفاوتی استفاده میکند، www.specialityllc[.]com. جالب است که هر دو در دبی واقع شده اند.
محققان افزودند که صاحبان وب سایت ها به احتمال زیاد هیچ ارتباطی با APT28 ندارند و این گروه صرفاً از سایت های متروکه یا آسیب پذیر بهره می برد.