L'APT sta accoppiando una nota falla di Microsoft con un documento dannoso per caricare malware che sottrae credenziali dai browser Chrome, Firefox ed Edge.
Il gruppo di minacce persistenti avanzate Fancy Bear è dietro a campagna di phishing che utilizza lo spettro della guerra nucleare per sfruttare un noto difetto Microsoft con un solo clic. L'obiettivo è fornire malware in grado di rubare credenziali dai browser Chrome, Firefox ed Edge.
Secondo i ricercatori di Malwarebytes Threat Intelligence, gli attacchi dell’APT collegata alla Russia sono legati alla guerra tra Russia e Ucraina. Riferiscono che Fancy Bear sta spingendo documenti dannosi utilizzati come arma con l'exploit for Follina (CVE-2022-30190), un noto difetto del sistema one-click di Microsoft, secondo a post sul blog pubblicato questa settimana.
"Questa è la prima volta che osserviamo APT28 utilizzare Follina nelle sue operazioni", hanno scritto i ricercatori nel post. Fancy Bear è anche conosciuto come APT28, Strontium e Sofacy.
Il 20 giugno, i ricercatori di Malwarebytes hanno osservato per la prima volta il documento armato, che scarica ed esegue prima un ladro .Net segnalato da Google. Il Threat Analysis Group (TAG) di Google ha affermato che Fancy Bear ha già utilizzato questo ladro per prendere di mira gli utenti in Ucraina.
La squadra di risposta alle emergenze informatiche dell'Ucraina (CERT-UA) scoperto anche indipendentemente il documento dannoso utilizzato da Fancy Bear nella recente campagna di phishing, secondo Malwarebytes.
Tenete duro
CERT-UA precedentemente identificato Fancy Bear è una delle numerose APT che colpiscono l'Ucraina con attacchi informatici parallelamente all'invasione delle truppe russe iniziata a fine febbraio. Si ritiene che il gruppo operi per volere dell'intelligence russa per raccogliere informazioni che potrebbero essere utili all'agenzia.
In passato Fancy Bear è stata coinvolta in attacchi contro le elezioni negli Stati Uniti ed Europa, così come attacchi informatici contro le agenzie sportive e antidoping relativi ai Giochi Olimpici del 2020.
I ricercatori hanno segnalato Follina per la prima volta ad aprile, ma solo a maggio è stato ufficialmente identificato come un exploit zero-day con un solo clic. Follina è associata allo strumento diagnostico di supporto Microsoft (MSDT) e utilizza il protocollo ms-msdt per caricare codice dannoso da Word o altri documenti di Office quando vengono aperti.
Il bug è pericoloso per una serie di ragioni, non ultima la sua ampia superficie di attacco, poiché colpisce praticamente chiunque utilizzi Microsoft Office su tutte le versioni di Windows attualmente supportate. Se sfruttati con successo, gli aggressori possono ottenere i diritti utente per assumere effettivamente il controllo di un sistema e installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account.
Microsoft ha recentemente patchato Follina nel suo Patch di giugno martedì rilasciare ma rimane sotto exploit attivo da autori di minacce, comprese le APT note.
Minaccia di attacco nucleare
La campagna Follina di Fancy Bear prende di mira gli utenti con e-mail contenenti un file RTF dannoso chiamato "Terrorismo nucleare: una minaccia molto reale" nel tentativo di sfruttare i timori delle vittime che l'invasione dell'Ucraina possa degenerare in un conflitto nucleare, hanno detto i ricercatori nel post. Il contenuto del documento è un articolo dal gruppo per gli affari internazionali Consiglio Atlantico che esplora la possibilità che Putin utilizzi armi nucleari nella guerra in Ucraina.
Il file dannoso utilizza un modello remoto incorporato nel file Document.xml.rels per recuperare un file HTML remoto dall'URL http://kitten-268[.]frge[.]io/article[.]html. Il file HTML utilizza quindi una chiamata JavaScript a window.location.href per caricare ed eseguire uno script PowerShell codificato utilizzando lo schema URI ms-msdt MSProtocol, hanno detto i ricercatori.
PowerShell carica il payload finale, una variante del ladro .Net precedentemente identificato da Google in altre campagne Fancy Bear in Ucraina. Mentre la variante più vecchia del ladro utilizzava un falso messaggio di errore pop-up per distrarre gli utenti da ciò che stava facendo, la variante utilizzata nella campagna a tema nucleare non lo fa, hanno detto i ricercatori.
In altre funzionalità, la variante vista di recente è “quasi identica” a quella precedente, “con solo alcuni refactoring minori e alcuni comandi di sospensione aggiuntivi”, hanno aggiunto.
Come con la variante precedente, lo scopo principale dello stealer è quello di rubare dati, comprese le credenziali del sito web come nome utente, password e URL, da diversi browser popolari, tra cui Google Chrome, Microsoft Edge e Firefox. Il malware utilizza quindi il protocollo di posta elettronica IMAP per esfiltrare i dati sul suo server di comando e controllo nello stesso modo in cui faceva la variante precedente, ma questa volta in un dominio diverso, hanno detto i ricercatori.
"La vecchia variante di questo ladro si collegava a mail[.]sartoc.com (144.208.77.68) per esfiltrare dati", hanno scritto. “La nuova variante utilizza lo stesso metodo ma un dominio diverso, www.specialityllc[.]com. È interessante notare che entrambi si trovano a Dubai.
I proprietari dei siti Web molto probabilmente non hanno nulla a che fare con APT28, poiché il gruppo si limita a sfruttare siti abbandonati o vulnerabili, hanno aggiunto i ricercatori.
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Enti Pubblici
- hack
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- vulnerabilità
- sicurezza del sito Web
- zefiro
