De APT koppelt een bekende Microsoft-fout aan een kwaadaardig document om malware te laden die inloggegevens van Chrome-, Firefox- en Edge-browsers haalt.
Geavanceerde aanhoudende dreigingsgroep Fancy Bear zit achter een phishing-campagne dat het spook van een nucleaire oorlog gebruikt om een bekende Microsoft-fout met één klik uit te buiten. Het doel is om malware te leveren die inloggegevens van de Chrome-, Firefox- en Edge-browsers kan stelen.
De aanvallen van de aan Rusland gelieerde APT zijn volgens onderzoekers van Malwarebytes Threat Intelligence verbonden met de oorlog tussen Rusland en Oekraïne. Ze melden dat Fancy Bear kwaadaardige documenten pusht die zijn bewapend met de exploit voor: Follina (CVE-2022-30190), een bekende Microsoft-fout met één klik, volgens a blogpost deze week gepubliceerd.
"Dit is de eerste keer dat we hebben waargenomen dat APT28 Follina gebruikt in zijn operaties", schreven onderzoekers in de post. Fancy Bear is ook bekend als APT28, Strontium en Sofacy.
Op 20 juni observeerden onderzoekers van Malwarebytes voor het eerst het bewapende document, dat eerst een .Net-stealer downloadt en uitvoert gerapporteerd door Google. Google's Threat Analysis Group (TAG) zei dat Fancy Bear deze stealer al heeft gebruikt om gebruikers in Oekraïne te targeten.
Het Computer Emergency Response Team van Oekraïne (CERT-UA) ook onafhankelijk ontdekt het kwaadaardige document dat volgens Malwarebytes door Fancy Bear is gebruikt in de recente phishing-campagne.
Beer op de losse
CERT-UA eerder geïdentificeerd Fancy Bear als een van de talrijke APT's die Oekraïne te lijf gaan met cyberaanvallen, parallel aan de invasie door Russische troepen die eind februari begon. Er wordt aangenomen dat de groep opereert in opdracht van de Russische inlichtingendienst om informatie te verzamelen die nuttig zou zijn voor het bureau.
In het verleden is Fancy Bear in verband gebracht met aanvallen gericht op verkiezingen in de Verenigde Staten en Europaevenals hacks tegen sport- en antidopingbureaus in verband met de Olympische Spelen van 2020.
Onderzoekers hebben Follina voor het eerst in april gemarkeerd, maar alleen in mei werd het officieel geïdentificeerd als een zero-day, one-click exploit. Follina is gekoppeld aan de Microsoft Support Diagnostic Tool (MSDT) en gebruikt het ms-msdt-protocol om kwaadaardige code uit Word of andere Office-documenten te laden wanneer ze worden geopend.
De bug is om een aantal redenen gevaarlijk, niet in de laatste plaats het brede aanvalsoppervlak, omdat het in principe iedereen treft die Microsoft Office gebruikt op alle momenteel ondersteunde versies van Windows. Indien succesvol misbruikt, kunnen aanvallers gebruikersrechten verkrijgen om een systeem effectief over te nemen en programma's te installeren, gegevens te bekijken, wijzigen of verwijderen of nieuwe accounts aan te maken.
Microsoft heeft onlangs Follina gepatcht in zijn Juni Patch dinsdag loslaten maar het blijft onder actief misbruik door dreigingsactoren, waaronder bekende APT's.
Dreiging van nucleaire aanval
De Follina-campagne van Fancy Bear richt zich op gebruikers met e-mails met een kwaadaardig RTF-bestand met de naam "Nuclear Terrorism A Very Real Threat" in een poging om de angst van slachtoffers weg te nemen dat de invasie van Oekraïne zal escaleren in een nucleair conflict, aldus onderzoekers in de post. De inhoud van het document is een dit artikel van de International Affairs Group Atlantic Council die de mogelijkheid onderzoekt dat Poetin kernwapens zal gebruiken in de oorlog in Oekraïne.
Het schadelijke bestand gebruikt een externe sjabloon die is ingesloten in het bestand Document.xml.rels om een extern HTML-bestand op te halen van de URL http://kitten-268[.]frge[.]io/article[.]html. Het HTML-bestand gebruikt vervolgens een JavaScript-aanroep naar window.location.href om een gecodeerd PowerShell-script te laden en uit te voeren met behulp van het ms-msdt MSProtocol URI-schema, aldus onderzoekers.
De PowerShell laadt de uiteindelijke payload - een variant van de .Net-stealer die eerder door Google werd geïdentificeerd in andere Fancy Bear-campagnes in de Oekraïne. Terwijl de oudste variant van de stealer een nep-foutbericht-pop-up gebruikte om gebruikers af te leiden van wat het aan het doen was, doet de variant die wordt gebruikt in de campagne met nucleair thema dat niet, aldus onderzoekers.
In andere functionaliteit is de recent geziene variant "bijna identiek" aan de eerdere, "met slechts een paar kleine refactoren en enkele extra slaapopdrachten", voegde ze eraan toe.
Net als bij de vorige variant, is het hoofddoel van de steler het stelen van gegevens, inclusief website-inloggegevens zoals gebruikersnaam, wachtwoord en URL, van verschillende populaire browsers, waaronder Google Chrome, Microsoft Edge en Firefox. De malware gebruikt vervolgens het IMAP-e-mailprotocol om gegevens naar zijn command-and-control-server te exfiltreren op dezelfde manier als de eerdere variant, maar deze keer naar een ander domein, aldus onderzoekers.
"De oude variant van deze stealer was verbonden met mail[.]sartoc.com (144.208.77.68) om gegevens te exfiltreren", schreven ze. “De nieuwe variant gebruikt dezelfde methode maar een ander domein, www.specialityllc[.]com. Interessant is dat beide zich in Dubai bevinden.”
De eigenaren van de websites hebben hoogstwaarschijnlijk niets te maken met APT28, waarbij de groep eenvoudig misbruik maakt van verlaten of kwetsbare sites, voegden onderzoekers eraan toe.
- blockchain
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- firewall
- Overheid
- hacks
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- VPN
- kwetsbaarheden
- website veiligheid
- zephyrnet
