Fancy Bear käyttää Nuke Threat -viehettä yhden napsautuksen vian hyödyntämiseen

Edistynyt jatkuva uhkaryhmä Fancy Bear on takana a tietojenkalastelukampanja joka käyttää ydinsodan haamua hyödyntääkseen tunnettua Microsoftin virhettä yhdellä napsautuksella. Tavoitteena on toimittaa haittaohjelmia, jotka voivat varastaa tunnistetietoja Chrome-, Firefox- ja Edge-selaimista.

Malwarebytes Threat Intelligencen tutkijoiden mukaan Venäjään liittyvän APT:n hyökkäykset ovat sidoksissa Venäjän ja Ukrainan sotaan. He raportoivat, että Fancy Bear työntää haitallisia asiakirjoja, jotka on asetettu hyväksikäytöllä Follina (CVE-2022-30190), tunnettu Microsoftin yhden napsautuksen virhe, a blogi julkaistiin tällä viikolla.

"Tämä on ensimmäinen kerta, kun olemme havainneet APT28:aa käyttämällä Follinaa toiminnassaan", tutkijat kirjoittivat viestissä. Fancy Bear tunnetaan myös nimellä APT28, Strontium ja Sofacy.

20. kesäkuuta Malwarebytesin tutkijat havaitsivat ensimmäisen kerran aseistetun asiakirjan, joka lataa ja suorittaa ensin .Net-varastajan. Googlen ilmoittama. Googlen Threat Analysis Group (TAG) sanoi, että Fancy Bear on jo käyttänyt tätä varastajaa kohdistaakseen käyttäjiä Ukrainassa.

Ukrainan Computer Emergency Response Team (CERT-UA) myös itsenäisesti löydetty Malwarebytesin mukaan Fancy Bearin äskettäisessä tietojenkalastelukampanjassa käyttämä haitallinen asiakirja.

Bear on the Loose

CERT-UA aiemmin tunnistettu Fancy Bear yhtenä lukuisista APT:istä, jotka iskevät Ukrainaa kyberhyökkäyksiin samanaikaisesti venäläisten joukkojen helmikuun lopulla alkaneen hyökkäyksen kanssa. Ryhmän uskotaan toimivan Venäjän tiedustelupalvelun käskystä kerätäkseen virastolle hyödyllistä tietoa.

Aiemmin Fancy Bear on ollut yhteydessä vaaleja koskeviin hyökkäyksiin Yhdysvalloissa ja EurooppaSekä hakkeroi urheilu- ja antidopingtoimistoja vastaan liittyvät vuoden 2020 olympialaisiin.

Tutkijat ilmoittivat Follinasta ensimmäisen kerran huhtikuussa, mutta vasta toukokuussa tunnistettiinko se virallisesti nollapäivän yhden napsautuksen hyväksikäytöksi. Follina liittyy Microsoftin tukidiagnostiikkatyökaluun (MSDT) ja käyttää ms-msdt-protokollaa haitallisen koodin lataamiseen Wordista tai muista Office-asiakirjoista, kun ne avataan.

Virhe on vaarallinen useista syistä – ei vähiten sen laaja hyökkäyspinta, koska se vaikuttaa periaatteessa kaikkiin Microsoft Officea käyttäviin kaikissa tällä hetkellä tuetuissa Windows-versioissa. Jos hyökkääjät hyödynnetään onnistuneesti, he voivat saada käyttäjäoikeudet tehokkaasti hallita järjestelmää ja asentaa ohjelmia, tarkastella, muuttaa tai poistaa tietoja tai luoda uusia tilejä.

Microsoft korjasi äskettäin Follinan Kesäkuun tiistaina vapauttaa, mutta se jää aktiivisen hyväksikäytön alla uhkatoimijat, mukaan lukien tunnetut APT:t.

Ydinhyökkäyksen uhka

Fancy Bearin Follina-kampanja kohdistaa käyttäjiä sähköpostiviesteillä, jotka sisältävät haitallista RTF-tiedostoa nimeltä "Nuclear Terrorism A Very Real Threat" yrittääkseen saalistaa uhrien pelkoja siitä, että Ukrainan hyökkäys kasvaa ydinkonfliktiksi, tutkijat sanoivat viestissä. Asiakirjan sisältö on artikkeli Kansainvälisten asioiden ryhmä Atlantic Council tutkii mahdollisuutta, että Putin käyttää ydinaseita Ukrainan sodassa.

Haitallinen tiedosto käyttää Document.xml.rels-tiedostoon upotettua etämallia HTML-etätiedoston hakemiseen URL-osoitteesta http://kitten-268[.]frge[.]io/article[.]html. HTML-tiedosto käyttää sitten JavaScript-kutsua osoitteeseen window.location.href ladatakseen ja suorittaakseen koodatun PowerShell-komentosarjan käyttämällä ms-msdt MSProtocol URI -järjestelmää, tutkijat sanoivat.

PowerShell lataa lopullisen hyötykuorman – muunnelman Googlen muissa Fancy Bear -kampanjoissa Ukrainassa aiemmin tunnistamasta .Net-varastajasta. Vaikka varastajan vanhin versio käytti väärää virheilmoitusponnahdusikkunaa häiritäkseen käyttäjiä tekemästä, ydinaiheisessa kampanjassa käytetty muunnelma ei sitä tee, tutkijat sanoivat.

Muissa toiminnoissa äskettäin nähty variantti on "melkein identtinen" edellisen kanssa, "vain muutamalla pienellä refaktorilla ja muutamilla ylimääräisillä nukkumiskomennoilla", he lisäsivät.

Kuten edellisessä versiossa, varastajan päätarkoituksena on varastaa tietoja – mukaan lukien verkkosivuston tunnistetiedot, kuten käyttäjätunnus, salasana ja URL-osoite – useista suosituista selaimista, kuten Google Chromesta, Microsoft Edgestä ja Firefoxista. Haittaohjelma käyttää sitten IMAP-sähköpostiprotokollaa tietojen suodattamiseen komento- ja ohjauspalvelimelleen samalla tavalla kuin aikaisempi versio teki, mutta tällä kertaa eri toimialueelle, tutkijat sanoivat.

"Tämän varastajan vanha versio yhdistettiin sähköpostiin [.]sartoc.com (144.208.77.68) tietojen suodattamiseksi", he kirjoittivat. "Uusi versio käyttää samaa menetelmää, mutta eri verkkotunnusta, www.specialityllc[.]com. Mielenkiintoista on, että molemmat sijaitsevat Dubaissa.

Verkkosivustojen omistajilla ei todennäköisesti ole mitään tekemistä APT28:n kanssa, sillä ryhmä vain käyttää hyväkseen hylättyjä tai haavoittuvia sivustoja, tutkijat lisäsivät.