APT는 알려진 Microsoft 결함을 악성 문서와 연결하여 Chrome, Firefox 및 Edge 브라우저에서 자격 증명을 가져오는 맬웨어를 로드합니다.
지능형 지속 위협 그룹 Fancy Bear가 배후에 있습니다. 피싱 캠페인 그것은 핵전쟁의 유령을 사용하여 알려진 원 클릭 Microsoft 결함을 악용합니다. 목표는 Chrome, Firefox 및 Edge 브라우저에서 자격 증명을 훔칠 수 있는 맬웨어를 전달하는 것입니다.
Malwarebytes Threat Intelligence의 연구원에 따르면 러시아와 연결된 APT의 공격은 러시아와 우크라이나 전쟁과 관련이 있습니다. 그들은 Fancy Bear가 익스플로잇으로 무기화된 악성 문서를 밀고 있다고 보고합니다. Follina의 (CVE-2022-30190), 알려진 Microsoft 원클릭 결함 블로그 게시물 이번주에 출판되었습니다.
연구원들은 게시물에 "APT28이 작업에서 Follina를 사용하는 것을 관찰한 것은 이번이 처음입니다."라고 썼습니다. 팬시 베어는 APT28, 스트론튬 및 소파로도 알려져 있습니다.
20월 XNUMX일 Malwarebytes 연구원들은 .Net 스틸러를 먼저 다운로드하여 실행하는 무기화된 문서를 처음 관찰했습니다. Google에서 보고한. Google의 위협 분석 그룹(TAG)은 Fancy Bear가 이미 이 도둑을 사용하여 우크라이나 사용자를 표적으로 삼았다고 말했습니다.
우크라이나 컴퓨터 비상 대응팀(CERT-UA) 또한 독립적으로 발견 Malwarebytes에 따르면 Fancy Bear가 최근 피싱 캠페인에서 사용한 악성 문서입니다.
느슨한 곰
CERT-UA 이전에 식별 Fancy Bear는 XNUMX월 말에 시작된 러시아군의 침공과 병행하여 사이버 공격으로 우크라이나를 강타한 수많은 APT 중 하나입니다. 이 그룹은 러시아 정보국의 명령에 따라 기관에 유용할 정보를 수집하는 것으로 여겨집니다.
과거 Fancy Bear는 선거를 겨냥한 공격에 연결되었습니다. 미국 및 유럽, 만큼 잘 스포츠 및 반도핑 기관에 대한 해킹 2020년 올림픽과 관련된
연구원들은 XNUMX월에 처음으로 Follina에 플래그를 지정했지만, XNUMX월에만 공식적으로 제로데이 원클릭 익스플로잇으로 식별되었습니까? Follina는 MSDT(Microsoft 지원 진단 도구)와 연결되어 있으며 ms-msdt 프로토콜을 사용하여 Word 또는 기타 Office 문서가 열릴 때 악성 코드를 로드합니다.
이 버그는 기본적으로 현재 지원되는 모든 Windows 버전에서 Microsoft Office를 사용하는 모든 사람에게 영향을 미치기 때문에 광범위한 공격 표면이 있는 여러 가지 이유로 위험합니다. 악용에 성공하면 공격자는 시스템을 효과적으로 인수하고 프로그램을 설치하고 데이터를 보거나 변경 또는 삭제하거나 새 계정을 만들 수 있는 사용자 권한을 얻을 수 있습니다.
Microsoft는 최근 Follina를 패치했습니다. XNUMX 월 패치 화요일 출시하지만 남아있다 적극적인 악용 알려진 APT를 포함한 위협 행위자에 의해.
핵 공격의 위협
Fancy Bear의 Follina 캠페인은 "Nuclear Terrorism A Very Real Threat"라는 악성 RTF 파일을 포함하는 이메일로 사용자를 표적으로 삼아 우크라이나 침공이 핵 분쟁으로 확대될 것이라는 피해자의 두려움을 노리고 있다고 연구원들이 밝혔습니다. 문서의 내용은 기사 푸틴이 우크라이나 전쟁에서 핵무기를 사용할 가능성을 조사하는 국제 문제 그룹 Atlantic Council에서.
악성 파일은 Document.xml.rels 파일에 포함된 원격 템플릿을 사용하여 URL http://kitten-268[.]frge[.]io/article[.]html에서 원격 HTML 파일을 검색합니다. 그런 다음 HTML 파일은 window.location.href에 대한 JavaScript 호출을 사용하여 ms-msdt MSProtocol URI 체계를 사용하여 인코딩된 PowerShell 스크립트를 로드하고 실행한다고 연구원들은 말했습니다.
PowerShell은 이전에 Google이 우크라이나의 다른 Fancy Bear 캠페인에서 식별한 .Net 스틸러의 변종인 최종 페이로드를 로드합니다. 가장 오래된 변종은 가짜 오류 메시지 팝업을 사용하여 사용자의 주의를 분산시켜 사용자의 주의를 분산시켰지만 핵을 주제로 한 캠페인에서 사용된 변종은 그렇지 않다고 연구원들은 말했습니다.
다른 기능에서 최근에 본 변형은 "몇 가지 사소한 리팩터와 몇 가지 추가 절전 명령만 있으면" 이전 버전과 "거의 동일"하다고 덧붙였습니다.
이전 변종과 마찬가지로 이 도둑의 주요 목적은 사용자 이름, 비밀번호 및 URL과 같은 웹사이트 자격 증명을 포함하여 Google Chrome, Microsoft Edge 및 Firefox를 비롯한 여러 인기 있는 브라우저에서 데이터를 훔치는 것입니다. 그런 다음 이 멀웨어는 IMAP 이메일 프로토콜을 사용하여 이전 변종과 동일한 방식으로 명령 및 제어 서버로 데이터를 유출하지만 이번에는 다른 도메인으로 유출한다고 연구원들은 말했습니다.
"이 스틸러의 오래된 변종은 mail[.]sartoc.com(144.208.77.68)에 연결하여 데이터를 빼내었습니다."라고 그들은 적었습니다. “새로운 변종은 동일한 방법을 사용하지만 다른 도메인인 www.specialityllc[.]com을 사용합니다. 흥미롭게도 두 곳 모두 두바이에 있습니다.”
연구원들은 웹사이트 소유자가 APT28과 아무 관련이 없을 가능성이 높으며 이 그룹은 단순히 버려진 또는 취약한 사이트를 이용한다고 덧붙였습니다.
