Fancy Bear utilise Nuke Threat Lure pour exploiter un bogue en un clic

Le groupe avancé de menaces persistantes Fancy Bear est à l'origine d'un campagne de phishing qui utilise le spectre de la guerre nucléaire pour exploiter une faille Microsoft connue en un clic. L'objectif est de fournir des logiciels malveillants capables de voler les informations d'identification des navigateurs Chrome, Firefox et Edge.

Les attaques de l'APT liée à la Russie sont liées à la guerre entre la Russie et l'Ukraine, selon des chercheurs de Malwarebytes Threat Intelligence. Ils rapportent que Fancy Bear pousse des documents malveillants militarisés avec l'exploit pour Follina (CVE-2022-30190), une faille connue de Microsoft en un clic, selon un blog récents publié cette semaine.

"C'est la première fois que nous observons APT28 utilisant Follina dans ses opérations", ont écrit les chercheurs dans le post. Fancy Bear est également connu sous le nom d'APT28, Strontium et Sofacy.

Le 20 juin, les chercheurs de Malwarebytes ont observé pour la première fois le document militarisé, qui télécharge et exécute d'abord un voleur .Net rapporté par Google. Le Threat Analysis Group (TAG) de Google a déclaré que Fancy Bear avait déjà utilisé ce voleur pour cibler les utilisateurs en Ukraine.

L'équipe d'intervention d'urgence informatique d'Ukraine (CERT-UA) également découvert indépendamment le document malveillant utilisé par Fancy Bear dans la récente campagne de phishing, selon Malwarebytes.

Ours en liberté

CERT-UA précédemment identifié Fancy Bear comme l'un des nombreux APT qui frappent l'Ukraine avec des cyber-attaques parallèlement à l'invasion par les troupes russes qui a commencé fin février. On pense que le groupe opère à la demande des services de renseignement russes pour recueillir des informations qui seraient utiles à l'agence.

Dans le passé, Fancy Bear a été lié à des attaques visant des élections aux États-Unis et les Europe, aussi bien que hacks contre les agences sportives et antidopage liés aux Jeux olympiques de 2020.

Les chercheurs ont signalé Follina pour la première fois en avril, mais seulement en mai a-t-il été officiellement identifié comme un exploit zero-day en un clic. Follina est associé à Microsoft Support Diagnostic Tool (MSDT) et utilise le protocole ms-msdt pour charger du code malveillant à partir de Word ou d'autres documents Office lorsqu'ils sont ouverts.

Le bogue est dangereux pour un certain nombre de raisons, notamment sa large surface d'attaque, car il affecte essentiellement toute personne utilisant Microsoft Office sur toutes les versions actuellement prises en charge de Windows. S'ils sont exploités avec succès, les attaquants peuvent obtenir des droits d'utilisateur pour prendre efficacement le contrôle d'un système et installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes.

Microsoft a récemment patché Follina dans son Patch du mardi de juin libérer mais il reste sous exploitation active par les acteurs de la menace, y compris les APT connus.

Menace d'attaque nucléaire

La campagne Follina de Fancy Bear cible les utilisateurs avec des e-mails contenant un fichier RTF malveillant appelé "Terrorisme nucléaire une menace très réelle" dans le but de s'attaquer aux craintes des victimes que l'invasion de l'Ukraine ne dégénère en conflit nucléaire, ont déclaré des chercheurs dans le post. Le contenu du document est un article du groupe des affaires internationales Atlantic Council qui explore la possibilité que Poutine utilise des armes nucléaires dans la guerre en Ukraine.

Le fichier malveillant utilise un modèle distant intégré dans le fichier Document.xml.rels pour récupérer un fichier HTML distant à partir de l'URL http://kitten-268[.]frge[.]io/article[.]html. Le fichier HTML utilise ensuite un appel JavaScript à window.location.href pour charger et exécuter un script PowerShell codé à l'aide du schéma d'URI ms-msdt MSProtocol, ont déclaré les chercheurs.

Le PowerShell charge la charge utile finale, une variante du voleur .Net précédemment identifié par Google dans d'autres campagnes Fancy Bear en Ukraine. Alors que la variante la plus ancienne du voleur utilisait un faux message d'erreur pour distraire les utilisateurs de ce qu'il faisait, la variante utilisée dans la campagne sur le thème du nucléaire ne le fait pas, ont déclaré les chercheurs.

Dans d'autres fonctionnalités, la variante récemment vue est "presque identique" à la précédente, "avec seulement quelques refactorisations mineures et quelques commandes de veille supplémentaires", ont-ils ajouté.

Comme pour la variante précédente, l'objectif principal du voleur est de voler des données, y compris des informations d'identification de site Web telles que le nom d'utilisateur, le mot de passe et l'URL, à partir de plusieurs navigateurs populaires, notamment Google Chrome, Microsoft Edge et Firefox. Le logiciel malveillant utilise ensuite le protocole de messagerie IMAP pour exfiltrer les données vers son serveur de commande et de contrôle de la même manière que la variante précédente, mais cette fois vers un domaine différent, ont déclaré les chercheurs.

"L'ancienne variante de ce voleur se connectait à mail[.]sartoc.com (144.208.77.68) pour exfiltrer des données", ont-ils écrit. "La nouvelle variante utilise la même méthode mais un domaine différent, www.specialityllc[.]com. Fait intéressant, les deux sont situés à Dubaï.

Les propriétaires des sites Web n'ont probablement rien à voir avec APT28, le groupe profitant simplement de sites abandonnés ou vulnérables, ont ajouté les chercheurs.