APT یک نقص شناخته شده مایکروسافت را با یک سند مخرب جفت می کند تا بدافزاری را بارگیری کند که اعتبارنامه ها را از مرورگرهای کروم، فایرفاکس و اج می گیرد.
گروه تهدید مداوم پیشرفته Fancy Bear پشت یک کمپین فیشینگ که از شبح جنگ هسته ای برای سوء استفاده از نقص شناخته شده مایکروسافت با یک کلیک استفاده می کند. هدف ارائه بدافزاری است که می تواند اعتبارنامه ها را از مرورگرهای کروم، فایرفاکس و اج بدزدد.
به گفته محققان Malwarebytes Threat Intelligence، حملات توسط APT مرتبط با روسیه با جنگ روسیه و اوکراین مرتبط است. آنها گزارش می دهند که Fancy Bear اسناد مخربی را که با این اکسپلویت مسلح شده اند، به کار می گیرد فولینا (CVE-2022-30190)، یک نقص شناخته شده مایکروسافت با یک کلیک، طبق a پست های وبلاگ این هفته منتشر شد
محققان در این پست نوشتند: «این اولین باری است که ما APT28 را با استفاده از Follina در عملیات خود مشاهده کردیم. خرس فانتزی با نام های APT28، Strontium و Sofacy نیز شناخته می شود.
در 20 ژوئن، محققان Malwarebytes برای اولین بار سند مسلح شده را مشاهده کردند که ابتدا یک دزد Net را دانلود و اجرا می کند. توسط گوگل گزارش شده است. گروه تحلیل تهدیدات گوگل (TAG) گفت Fancy Bear قبلا از این دزد برای هدف قرار دادن کاربران در اوکراین استفاده کرده است.
تیم پاسخگویی اضطراری کامپیوتری اوکراین (CERT-UA) نیز به طور مستقل کشف شده است به گفته Malwarebytes، سند مخرب مورد استفاده Fancy Bear در کمپین فیشینگ اخیر.
خرس در آزاد
CERT-UA قبلا شناسایی شده است Fancy Bear به عنوان یکی از APT های متعددی که به موازات تهاجم نیروهای روسی که در اواخر فوریه آغاز شد، اوکراین را با حملات سایبری کوبید. اعتقاد بر این است که این گروه به دستور اطلاعات روسیه برای جمع آوری اطلاعات مفید برای آژانس فعالیت می کند.
در گذشته Fancy Bear در حملاتی که انتخابات را هدف قرار داده بودند، مرتبط بوده است در ایالات متحده و اروپا، و همچنین هک علیه آژانس های ورزشی و ضد دوپینگ مربوط به بازی های المپیک 2020
محققان برای اولین بار فولینا را در آوریل علامت گذاری کردند، اما فقط در ماه می آیا به طور رسمی به عنوان یک اکسپلویت روز صفر و با یک کلیک شناسایی شد؟ Follina با ابزار تشخیصی پشتیبانی مایکروسافت (MSDT) مرتبط است و از پروتکل ms-msdt برای بارگیری کدهای مخرب از Word یا سایر اسناد آفیس پس از باز شدن آنها استفاده می کند.
این باگ به دلایل مختلفی خطرناک است – که کمترین آنها سطح حمله گسترده آن است، زیرا اساساً هر کسی را که از Microsoft Office در تمام نسخههای ویندوز پشتیبانی میشود تحت تأثیر قرار میدهد. در صورت سوء استفاده موفقیت آمیز، مهاجمان می توانند حقوق کاربر را برای تصاحب مؤثر سیستم و نصب برنامه ها، مشاهده، تغییر یا حذف داده ها یا ایجاد حساب های جدید به دست آورند.
مایکروسافت اخیراً فولینا را اصلاح کرده است ژوئن پچ سه شنبه آزاد شود اما باقی می ماند تحت بهره برداری فعال توسط عوامل تهدید، از جمله APTهای شناخته شده.
تهدید حمله هسته ای
محققان در این پست گفتند که کمپین فولینای Fancy Bear کاربرانی را با ایمیلهایی که حاوی یک فایل RTF مخرب به نام «تروریسم هستهای یک تهدید بسیار واقعی» هستند، هدف قرار میدهد تا ترس قربانیان را از تبدیل شدن تهاجم به اوکراین به یک درگیری هستهای شکار کند. محتوای سند یک مقاله از گروه امور بینالملل شورای آتلانتیک که احتمال استفاده پوتین از سلاح هستهای در جنگ اوکراین را بررسی میکند.
فایل مخرب از یک الگوی راه دور تعبیه شده در فایل Document.xml.rels برای بازیابی یک فایل HTML راه دور از URL http://kitten-268[.]frge[.]io/article[.]html استفاده می کند. به گفته محققان، فایل HTML سپس از فراخوانی جاوا اسکریپت به window.location.href برای بارگیری و اجرای یک اسکریپت کدگذاری شده PowerShell با استفاده از طرح URI ms-msdt MSProtocol استفاده می کند.
PowerShell بار نهایی را بارگیری میکند - نوعی از دزد .Net که قبلاً توسط Google در سایر کمپینهای Fancy Bear در اوکراین شناسایی شده بود. به گفته محققان، در حالی که قدیمیترین نوع سارق از یک پیغام خطای جعلی برای منحرف کردن حواس کاربران از کاری که انجام میداد استفاده میکرد، نوع مورد استفاده در کمپین هستهای اینطور نیست.
در دیگر قابلیتها، نسخهای که اخیراً مشاهده شده تقریباً مشابه نسخه قبلی است، «فقط با چند بازساز کوچک و برخی دستورات خواب اضافی».
مانند نسخه قبلی، هدف اصلی سارق سرقت داده ها - از جمله اعتبار وب سایت مانند نام کاربری، رمز عبور و URL - از چندین مرورگر محبوب از جمله Google Chrome، Microsoft Edge و Firefox است. به گفته محققان، این بدافزار سپس از پروتکل ایمیل IMAP برای استخراج دادهها به سرور فرمان و کنترل خود به همان روشی که نسخه قبلی انجام میداد، استفاده میکند، اما این بار به یک دامنه دیگر.
آنها نوشتند: «نوع قدیمی این دزد به mail[.]sartoc.com (144.208.77.68) متصل شد تا داده ها را استخراج کند. «نوع جدید از همان روش اما دامنه متفاوتی استفاده میکند، www.specialityllc[.]com. جالب است که هر دو در دبی واقع شده اند.
محققان افزودند که صاحبان وب سایت ها به احتمال زیاد هیچ ارتباطی با APT28 ندارند و این گروه صرفاً از سایت های متروکه یا آسیب پذیر بهره می برد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://threatpost.com/fancy-bear-nuke-threat-lure/180056/
- : دارد
- :است
- :نه
- 20
- 2020
- 50
- 700
- 77
- a
- مطابق
- حساب ها
- فعال
- بازیگران
- اضافه
- اضافی
- مزیت - فایده - سود - منفعت
- امور
- در برابر
- نمایندگی
- معرفی
- قبلا
- همچنین
- an
- تحلیل
- و
- هر کس
- آوریل
- APT
- هستند
- AS
- مرتبط است
- At
- حمله
- حمله
- کوشش
- اساسا
- BE
- خرس
- بوده
- آغاز شد
- پشت سر
- اعتقاد بر این
- هر دو
- مرورگرهای
- اشکال
- اما
- by
- صدا
- نام
- کمپین بین المللی حقوق بشر
- مبارزات
- CAN
- حمل
- تغییر دادن
- کروم
- رمز
- COM
- کامپیوتر
- تضاد
- متصل
- محتوا
- شورا
- ایجاد
- مجوزها و اعتبارات
- در حال حاضر
- خطرناک
- داده ها
- ارائه
- تشخیصی
- DID
- مختلف
- do
- سند
- اسناد و مدارک
- میکند
- عمل
- دامنه
- دانلود
- .دبی
- پیش از آن
- لبه
- به طور موثر
- انتخابات
- پست الکترونیک
- ایمیل
- جاسازی شده
- اورژانس
- خطا
- تشدید
- اجرا کردن
- اجرا می کند
- بهره برداری
- سوء استفاده قرار گیرد
- کاوش می کند
- جعلی
- ترس
- فوریه
- کمی از
- پرونده
- نهایی
- فایرفاکس
- نام خانوادگی
- بار اول
- پرچم گذاری شده
- نقص
- برای
- از جانب
- قابلیت
- افزایش
- بازیها
- جمع آوری
- هدف
- گوگل
- گوگل کروم
- گوگل
- گروه
- آیا
- HTML
- HTTP
- HTTPS
- شناسایی
- if
- in
- در دیگر
- از جمله
- به طور مستقل
- اطلاعات
- infosec
- نصب
- اطلاعات
- بین المللی
- به
- تهاجم
- IT
- ITS
- جاوا اسکریپت
- ژوئن
- تنها
- شناخته شده
- دیر
- کمترین
- احتمالا
- مرتبط
- بار
- بارهای
- واقع شده
- محل
- اصلی
- نرم افزارهای مخرب
- تروجان
- حداکثر عرض
- پیام
- روش
- مایکروسافت
- مایکروسافت لبه
- دفتر مایکروسافت
- خردسال
- اکثر
- خالص
- جدید
- عضویت در خبرنامه
- هیچ چی
- هستهای
- سلاح های هسته ای
- عدد
- متعدد
- مشاهده
- of
- دفتر
- رسما
- قدیمی
- قدیمی ترین
- المپیک
- مسابقات المپیک
- on
- ONE
- باز
- عملیاتی
- عملیات
- or
- دیگر
- روی
- مروری
- صاحبان
- جفت کردن
- موازی
- کلمه عبور
- گذشته
- وصله
- فیشینگ
- کمپین فیشینگ
- افلاطون
- هوش داده افلاطون
- PlatoData
- پاپ آپ
- محبوب
- امکان
- پست
- PowerShell را
- قبلی
- قبلا
- شکار
- برنامه ها
- پروتکل
- منتشر شده
- هل دادن
- پوتین
- واقعی
- اخیر
- تازه
- مربوط
- آزاد
- بقایای
- دور
- گزارش
- محققان
- پاسخ
- حقوق
- روسی
- سعید
- همان
- طرح
- خط
- مشاهده گردید
- سرور
- چند
- به سادگی
- سایت
- خواب
- برخی از
- شبح
- موفقیت
- چنین
- پشتیبانی
- پشتیبانی
- سطح
- سیستم
- TAG
- گرفتن
- مصرف
- هدف
- هدف گذاری
- اهداف
- تیم
- قالب
- تروریسم
- که
- La
- سپس
- آنها
- این
- این هفته
- تهدید
- بازیگران تهدید
- تهدید هوش
- گره خورده است
- زمان
- به
- ابزار
- اوکراین
- جنگ اوکراین
- متحد
- URI
- URL
- استفاده کنید
- استفاده
- کاربر
- کاربران
- استفاده
- با استفاده از
- نوع دیگر
- بسیار
- چشم انداز
- آسیب پذیر
- جنگ
- جنگ در اوکراین
- بود
- مسیر..
- تسلیحات
- سایت اینترنتی
- وب سایت
- هفته
- خوب
- چی
- چه زمانی
- که
- در حین
- وسیع
- اراده
- پنجره
- پنجره
- با
- کلمه
- خواهد بود
- نوشت
- XML
- زفیرنت