Az APT egy ismert Microsoft-hibát párosít egy rosszindulatú dokumentummal, hogy olyan rosszindulatú programokat töltsön be, amelyek a Chrome, a Firefox és az Edge böngészőkből szereznek hitelesítő adatokat.
Fejlett, tartós fenyegetettségi csoport, a Fancy Bear mögött a adathalász kampány amely az atomháború kísértetét használja fel egy ismert, egyetlen kattintással elérhető Microsoft-hiba kihasználására. A cél olyan rosszindulatú programok eljuttatása, amelyek ellophatják a hitelesítő adatokat a Chrome, Firefox és Edge böngészőkből.
A Malwarebytes Threat Intelligence kutatói szerint az Oroszországhoz köthető APT támadásai az orosz és az ukrán háborúhoz kötődnek. Beszámolnak arról, hogy a Fancy Bear rosszindulatú dokumentumokat terjeszt, amelyek kihasználása a cél Follina (CVE-2022 30190-), egy ismert Microsoft egykattintásos hiba, a szerint blogbejegyzés ezen a héten jelent meg.
"Ez az első alkalom, hogy megfigyeltük az APT28-at Follina használatával" - írták a kutatók a bejegyzésben. A Fancy Bear APT28, Strontium és Sofacy néven is ismert.
Június 20-án a Malwarebytes kutatói először figyelték meg a fegyveres dokumentumot, amely először letölti és végrehajtja a .Net-lopást. jelentette a Google. A Google Fenyegetéselemző Csoportja (TAG) szerint a Fancy Bear már használta ezt a lopót az ukrajnai felhasználók megcélzására.
Ukrajna Számítógépes Emergency Response Team (CERT-UA) önállóan is felfedezték a rosszindulatú dokumentum, amelyet a Fancy Bear használt a legutóbbi adathalász kampányban a Malwarebytes szerint.
Bear on the Loose
CERT-UA korábban azonosították A Fancy Bear egyike azon számos APT-nek, amely az orosz csapatok február végén kezdődött inváziójával párhuzamosan kibertámadásokkal zúdítja Ukrajnát. A csoport vélhetően az orosz hírszerzés parancsára működik, hogy olyan információkat gyűjtsön, amelyek hasznosak lehetnek az ügynökség számára.
A múltban a Fancy Bear-t összefüggésbe hozták a választásokat célzó támadásokkal az Amerikai Egyesült Államokban és a Európa<p></p> sport- és doppingellenes ügynökségek elleni feltörések a 2020-as olimpiához kapcsolódóan.
A kutatók először áprilisban jelölték meg Follinát, de csak májusban hivatalosan nulladik napi, egykattintásos exploitként azonosították. A Follina a Microsoft támogatási diagnosztikai eszközéhez (MSDT) kapcsolódik, és az ms-msdt protokollt használja a rosszindulatú kódok betöltésére a Wordből vagy más Office-dokumentumokból, amikor megnyitják azokat.
A hiba több okból is veszélyes – nem utolsósorban a széles támadási felület miatt, mivel alapvetően mindenkit érint, aki Microsoft Office-t használ a Windows összes jelenleg támogatott verzióján. Sikeres kihasználás esetén a támadók felhasználói jogokat szerezhetnek a rendszer hatékony átvételéhez és programok telepítéséhez, adatok megtekintéséhez, módosításához vagy törléséhez, illetve új fiókok létrehozásához.
A Microsoft nemrég javította a Follinát Június javítás kedd elenged, de marad aktív kihasználás alatt fenyegetés szereplői, köztük az ismert APT-k.
Nukleáris támadás veszélye
A kutatók szerint a Fancy Bear Follina kampánya a „Nuclear Terrorism A Very Real Threat” nevű rosszindulatú RTF-fájlt hordozó e-mailekkel célozza meg a felhasználókat, hogy megpróbálja elkapni az áldozatok félelmét, miszerint az ukrajnai invázió nukleáris konfliktussá fajul majd. A dokumentum tartalma egy cikkben az Atlantic Council nemzetközi ügyekkel foglalkozó csoporttól, amely azt vizsgálja, hogy Putyin nukleáris fegyvereket használna az ukrajnai háborúban.
A rosszindulatú fájl a Document.xml.rels fájlba beágyazott távoli sablon segítségével távoli HTML-fájlt kér le a http://kitten-268[.]frge[.]io/article[.]html URL-ről. A HTML-fájl ezután JavaScript-hívást használ a window.location.href címre, hogy betöltsön és végrehajtson egy kódolt PowerShell-szkriptet az ms-msdt MSProtocol URI séma használatával, mondták a kutatók.
A PowerShell betölti a végső hasznos terhet – a Google által korábban más ukrajnai Fancy Bear kampányokban azonosított .Net-lopó egyik változatát. Míg a lopakodó legrégebbi változata hamis hibaüzenet-felugró ablakot használt, hogy elvonja a felhasználók figyelmét arról, amit csinál, addig a nukleáris témájú kampányban használt változat nem, mondták a kutatók.
Más funkciókban a közelmúltban látott variáns „majdnem azonos” a korábbival, „csak néhány apróbb refaktorral és néhány további alvó paranccsal” – tették hozzá.
Az előző változathoz hasonlóan a lopó fő célja, hogy adatokat – beleértve a webhely hitelesítő adatait, például a felhasználónevet, a jelszót és az URL-t – ellopja számos népszerű böngészőből, köztük a Google Chrome-ból, a Microsoft Edge-ből és a Firefoxból. A rosszindulatú program ezután az IMAP e-mail protokollt használja az adatok kiszűrésére a parancs- és vezérlőszerverére, ugyanúgy, ahogy a korábbi változat tette, de ezúttal egy másik tartományba.
„Ennek a lopakodónak a régi változata a mail[.]sartoc.com-hoz (144.208.77.68) csatlakozott, hogy kiszűrje az adatokat” – írták. „Az új változat ugyanazt a módszert használja, de más domaint, a www.specialityllc[.]com-ot. Érdekes módon mindkettő Dubaiban található.”
A webhelyek tulajdonosainak nagy valószínűséggel semmi közük az APT28-hoz, a csoport egyszerűen kihasználja az elhagyott vagy sebezhető oldalakat – tették hozzá a kutatók.
