ה-APT משדך פגם ידוע של מיקרוסופט עם מסמך זדוני כדי לטעון תוכנות זדוניות שמקבלות אישורים מדפדפני Chrome, Firefox ו-Edge.
קבוצת איומים מתמשכים מתקדמים Fancy Bear עומדת מאחורי א קמפיין דיוג שמשתמש בספק המלחמה הגרעינית כדי לנצל פגם ידוע בלחיצה אחת של מיקרוסופט. המטרה היא לספק תוכנה זדונית שיכולה לגנוב אישורים מדפדפני Chrome, Firefox ו-Edge.
ההתקפות של ה-APT המקושר לרוסיה קשורות למלחמת רוסיה ואוקראינה, לפי חוקרים מ-Malwarebytes Threat Intelligence. הם מדווחים כי Fancy Bear דוחף מסמכים זדוניים המבוצעים בנשק עם הניצול עבור פולינה (CVE-2022-30190), פגם ידוע של מיקרוסופט בלחיצה אחת, על פי א בלוג פורסם השבוע.
"זו הפעם הראשונה שצפינו ב-APT28 באמצעות Follina בפעילותה", כתבו חוקרים בפוסט. Fancy Bear ידוע גם בתור APT28, Strontium ו-Sofacy.
ב-20 ביוני, חוקרי Malwarebytes צפו לראשונה במסמך הנשקף, אשר מוריד ומבצע תחילה גנב .Net. דווח על ידי גוגל. קבוצת ניתוח האיומים של גוגל (TAG) אמרה כי Fancy Bear כבר השתמשה בגנב הזה כדי למקד למשתמשים באוקראינה.
צוות תגובת חירום מחשבים של אוקראינה (CERT-UA) גם התגלה באופן עצמאי המסמך הזדוני ששימש את Fancy Bear בקמפיין הדיוג האחרון, לפי Malwarebytes.
דוב חופשי
CERT-UA שזוהה בעבר Fancy Bear כאחד מ-APTs הרבים שפוגעים באוקראינה בהתקפות סייבר במקביל לפלישה של חיילים רוסים שהחלה בסוף פברואר. מעריכים כי הקבוצה פועלת בהוראת המודיעין הרוסי כדי לאסוף מידע שיועיל לסוכנות.
בעבר דוב פנסי נקשר בהתקפות המכוונות לבחירות בארצות הברית ו אירופה, בנוסף ל פריצות נגד סוכנויות ספורט ואנטי סמים קשור למשחקים האולימפיים 2020.
חוקרים סימנו לראשונה את Follina באפריל, אבל רק בחודש מאי האם זה זוהה רשמית כניצול של יום אפס בלחיצה אחת. Follina משויכת לכלי האבחון של Microsoft Support (MSDT) ומשתמשת בפרוטוקול ms-msdt כדי לטעון קוד זדוני מ-Word או מסמכי Office אחרים כאשר הם נפתחים.
הבאג מסוכן ממספר סיבות - לא הפחות משטח ההתקפה הרחב שלו, מכיוון שהוא משפיע בעצם על כל מי שמשתמש ב-Microsoft Office בכל הגירסאות הנתמכות כרגע של Windows. אם מנוצלים בהצלחה, התוקפים יכולים לקבל זכויות משתמש להשתלט ביעילות על מערכת ולהתקין תוכניות, להציג, לשנות או למחוק נתונים, או ליצור חשבונות חדשים.
מיקרוסופט תיקנה לאחרונה את Follina שלה יוני תיקון יום שלישי לשחרר אבל זה נשאר תחת ניצול אקטיבי על ידי גורמי איומים, כולל APTs ידועים.
איום במתקפה גרעינית
קמפיין Follina של Fancy Bear מכוון למשתמשים עם מיילים הנושאים קובץ RTF זדוני בשם "טרור גרעיני איום אמיתי" בניסיון לטרוף את חששות הקורבנות שהפלישה לאוקראינה תסלים לסכסוך גרעיני, אמרו החוקרים בפוסט. תוכן המסמך הוא א מאמר מארגון העניינים הבינלאומיים המועצה האטלנטית שבוחנת את האפשרות שפוטין ישתמש בנשק גרעיני במלחמה באוקראינה.
הקובץ הזדוני משתמש בתבנית מרוחקת המוטבעת בקובץ Document.xml.rels כדי לאחזר קובץ HTML מרוחק מכתובת ה-URL http://kitten-268[.]frge[.]io/article[.]html. לאחר מכן, קובץ ה-HTML משתמש בקריאה של JavaScript ל-window.location.href כדי לטעון ולהפעיל סקריפט PowerShell מקודד באמצעות סכימת ה-URI של MS-msdt MSProtocol, אמרו החוקרים.
ה-PowerShell טוען את המטען הסופי - גרסה של גונב .Net שזוהה בעבר על ידי Google בקמפיינים אחרים של Fancy Bear באוקראינה. בעוד שהגרסה הוותיקה ביותר של הגנב השתמשה בהודעת שגיאה מזויפת מוקפצת כדי להסיח את דעת המשתמשים ממה שהיא עושה, הגרסה שבה נעשה שימוש בקמפיין בנושא הגרעין לא עושה זאת, אמרו החוקרים.
בפונקציונליות אחרת, הגרסה שנראתה לאחרונה היא "כמעט זהה" לגרסה הקודמת, "עם רק כמה מחזירי משנה קלים וכמה פקודות שינה נוספות", הם הוסיפו.
כמו בגרסה הקודמת, המטרה העיקרית של הגנב היא לגנוב נתונים - כולל אישורי אתר כמו שם משתמש, סיסמה וכתובת URL - ממספר דפדפנים פופולריים, כולל Google Chrome, Microsoft Edge ו-Firefox. לאחר מכן, התוכנה הזדונית משתמשת בפרוטוקול הדואר האלקטרוני של IMAP כדי לסנן נתונים לשרת הפיקוד והבקרה שלה באותו אופן שבו עשתה הגרסה הקודמת, אך הפעם לתחום אחר, אמרו החוקרים.
"הגרסה הישנה של הגנב הזה התחברה ל-mail[.]sartoc.com (144.208.77.68) כדי לחלץ נתונים", הם כתבו. "הגרסה החדשה משתמשת באותה שיטה אבל בתחום אחר, www.specialityllc[.]com. מעניין ששניהם ממוקמים בדובאי."
סביר להניח שלבעלי האתרים אין שום קשר ל-APT28, כשהקבוצה פשוט מנצלת אתרים נטושים או פגיעים, הוסיפו חוקרים.
