APT memasangkan kelemahan Microsoft yang diketahui dengan dokumen berbahaya untuk memuat malware yang mengambil kredensial dari browser Chrome, Firefox, dan Edge.
Kelompok ancaman gigih tingkat lanjut, Fancy Bear, berada di belakang a kampanye phishing yang menggunakan momok perang nuklir untuk mengeksploitasi kelemahan Microsoft satu klik yang diketahui. Tujuannya adalah untuk mengirimkan malware yang dapat mencuri kredensial dari browser Chrome, Firefox, dan Edge.
Serangan oleh APT yang terkait dengan Rusia terkait dengan perang Rusia dan Ukraina, menurut para peneliti di Malwarebytes Threat Intelligence. Mereka melaporkan bahwa Fancy Bear mendorong dokumen berbahaya yang dipersenjatai dengan eksploitasi untuk folina (CVE-2022-30190), kelemahan satu klik Microsoft yang terkenal, menurut a posting blog diterbitkan minggu ini
“Ini adalah pertama kalinya kami mengamati APT28 menggunakan Follina dalam operasinya,” tulis para peneliti dalam postingan tersebut. Fancy Bear juga dikenal sebagai APT28, Strontium dan Sofacy.
Pada 20 Juni, peneliti Malwarebytes pertama kali mengamati dokumen yang dipersenjatai, yang mengunduh dan mengeksekusi pencuri .Net terlebih dahulu dilaporkan oleh Google. Grup Analisis Ancaman Google (TAG) mengatakan Fancy Bear telah menggunakan pencuri ini untuk menargetkan pengguna di Ukraina.
Tim Tanggap Darurat Komputer Ukraina (CERT-UA) juga ditemukan secara independen dokumen jahat yang digunakan oleh Fancy Bear dalam kampanye phishing baru-baru ini, menurut Malwarebytes.
Beruang di Loose
CERT-UA diidentifikasi sebelumnya Fancy Bear sebagai salah satu dari banyak APT yang menyerang Ukraina dengan serangan siber bersamaan dengan invasi oleh pasukan Rusia yang dimulai pada akhir Februari. Kelompok tersebut diyakini beroperasi atas perintah intelijen Rusia untuk mengumpulkan informasi yang akan berguna bagi badan tersebut.
Di masa lalu, Fancy Bear telah dikaitkan dengan serangan yang menargetkan pemilihan di Amerika Serikat dan Eropa, sebaik peretasan terhadap agen olahraga dan anti-doping terkait dengan Olimpiade 2020.
Para peneliti pertama kali menandai Follina pada bulan April, tetapi hanya di bulan Mei apakah itu secara resmi diidentifikasi sebagai eksploitasi zero-day, one-click. Follina dikaitkan dengan Alat Diagnostik Dukungan Microsoft (MSDT) dan menggunakan protokol ms-msdt untuk memuat kode berbahaya dari Word atau dokumen Office lainnya saat dibuka.
Bug ini berbahaya karena sejumlah alasan – tidak terkecuali adalah permukaan serangannya yang luas, karena pada dasarnya memengaruhi siapa saja yang menggunakan Microsoft Office di semua versi Windows yang saat ini didukung. Jika berhasil dieksploitasi, penyerang dapat memperoleh hak pengguna untuk secara efektif mengambil alih sistem dan menginstal program, melihat, mengubah atau menghapus data, atau membuat akun baru.
Microsoft baru-baru ini menambal Follina di Patch Juni Selasa lepaskan tapi tetap ada di bawah eksploitasi aktif oleh aktor ancaman, termasuk APT yang dikenal.
Ancaman Serangan Nuklir
Kampanye Fancy Bear's Follina menargetkan pengguna dengan email yang membawa file RTF berbahaya yang disebut "Terorisme Nuklir Ancaman Sangat Nyata" dalam upaya untuk memangsa ketakutan para korban bahwa invasi ke Ukraina akan meningkat menjadi konflik nuklir, kata para peneliti dalam posting tersebut. Isi dokumen adalah artikel dari kelompok urusan internasional Dewan Atlantik yang menjajaki kemungkinan bahwa Putin akan menggunakan senjata nuklir dalam perang di Ukraina.
File berbahaya menggunakan template jarak jauh yang disematkan di file Document.xml.rels untuk mengambil file HTML jarak jauh dari URL http://kitten-268[.]frge[.]io/article[.]html. File HTML kemudian menggunakan panggilan JavaScript ke window.location.href untuk memuat dan menjalankan skrip PowerShell yang disandikan menggunakan skema URI MSProtocol ms-msdt, kata para peneliti.
PowerShell memuat muatan akhir–varian dari pencuri .Net yang sebelumnya diidentifikasi oleh Google dalam kampanye Fancy Bear lainnya di Ukraina. Sementara varian tertua dari pencuri menggunakan pop-up pesan kesalahan palsu untuk mengalihkan perhatian pengguna dari apa yang dilakukannya, varian yang digunakan dalam kampanye bertema nuklir tidak, kata para peneliti.
Dalam fungsionalitas lain, varian yang baru-baru ini terlihat "hampir identik" dengan yang sebelumnya, "hanya dengan beberapa refactor kecil dan beberapa perintah tidur tambahan," tambah mereka.
Seperti varian sebelumnya, tujuan utama pencuri adalah mencuri data—termasuk kredensial situs web seperti nama pengguna, sandi, dan URL—dari beberapa browser populer, termasuk Google Chrome, Microsoft Edge, dan Firefox. Malware tersebut kemudian menggunakan protokol email IMAP untuk mengekstrak data ke server perintah-dan-kontrolnya dengan cara yang sama seperti yang dilakukan varian sebelumnya tetapi kali ini ke domain yang berbeda, kata para peneliti.
“Varian lama pencuri ini terhubung ke mail[.]sartoc.com (144.208.77.68) untuk mengekstrak data,” tulis mereka. “Varian baru menggunakan metode yang sama tetapi domain yang berbeda, www.specialityllc[.]com. Menariknya keduanya berada di Dubai.”
Pemilik situs web kemungkinan besar tidak ada hubungannya dengan APT28, dengan kelompok tersebut hanya mengambil keuntungan dari situs yang ditinggalkan atau rentan, tambah peneliti.
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- Pemerintah
- hacks
- Kaspersky
- malware
- mcafe
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- VPN
- Kerentanan
- website security
- zephyrnet.dll
