APT łączy znaną lukę Microsoftu ze złośliwym dokumentem, aby załadować złośliwe oprogramowanie, które pobiera dane uwierzytelniające z przeglądarek Chrome, Firefox i Edge.
Zaawansowana grupa trwałego zagrożenia Fancy Bear stoi za kampania phishingowa który wykorzystuje widmo wojny nuklearnej do wykorzystania znanej luki Microsoftu jednym kliknięciem. Celem jest dostarczenie złośliwego oprogramowania, które może kraść dane uwierzytelniające z przeglądarek Chrome, Firefox i Edge.
Według badaczy z Malwarebytes Threat Intelligence ataki dokonywane przez APT powiązanego z Rosją są powiązane z wojną rosyjsko-ukraińską. Poinformowali, że Fancy Bear wpycha złośliwe dokumenty wykorzystujące exploit dla Follina (CVE-2022-30190), znaną lukę firmy Microsoft za jednym kliknięciem, według A blogu opublikowane w tym tygodniu.
„Po raz pierwszy zaobserwowaliśmy, jak APT28 wykorzystuje Follina w swoich operacjach” – napisali naukowcy w poście. Fancy Bear jest również znany jako APT28, Stront i Sofacy.
20 czerwca badacze Malwarebytes po raz pierwszy zaobserwowali uzbrojony dokument, który najpierw pobiera i wykonuje złodzieja .Net zgłoszone przez Google. Grupa Analizy Zagrożeń Google (TAG) poinformowała, że Fancy Bear wykorzystał już tego złodzieja do atakowania użytkowników na Ukrainie.
Zespół Reagowania na Awarie Komputerowe Ukrainy (CERT-UA) również samodzielnie odkryty złośliwy dokument wykorzystany przez Fancy Bear w ostatniej kampanii phishingowej, według Malwarebytes.
Niedźwiedź na wolności
CERT-UA wcześniej zidentyfikowany Fancy Bear jako jeden z licznych APT-ów atakujących Ukrainę cyberatakami równolegle z inwazją wojsk rosyjskich, która rozpoczęła się pod koniec lutego. Uważa się, że grupa działa na polecenie rosyjskiego wywiadu, aby zebrać informacje przydatne dla agencji.
W przeszłości Fancy Bear był powiązany z atakami wymierzonymi w wybory w Stanach Zjednoczonych i Europie, jak również hacki przeciwko agencjom sportowym i antydopingowym związane z Igrzyskami Olimpijskimi 2020.
Naukowcy po raz pierwszy oznaczyli Follinę w kwietniu, ale tylko w maju czy został oficjalnie zidentyfikowany jako exploit typu zero-day, dostępny za jednym kliknięciem. Follina jest skojarzona z Microsoft Support Diagnostic Tool (MSDT) i używa protokołu ms-msdt do ładowania złośliwego kodu z programu Word lub innych dokumentów pakietu Office, gdy są otwierane.
Błąd jest niebezpieczny z wielu powodów – nie najmniej ważnym jest jego szeroka powierzchnia ataku, ponieważ w zasadzie dotyka każdego, kto korzysta z pakietu Microsoft Office we wszystkich obecnie obsługiwanych wersjach systemu Windows. W przypadku pomyślnego wykorzystania atakujący mogą uzyskać prawa użytkownika do skutecznego przejęcia systemu i instalowania programów, przeglądania, zmieniania lub usuwania danych lub tworzenia nowych kont.
Microsoft ostatnio załatał Follinę w swoim Aktualizacja czerwcowa Wtorek zwolnić, ale pozostaje pod aktywnym wykorzystaniem przez cyberprzestępców, w tym znane APT.
Zagrożenie atakiem nuklearnym
Kampania Follina Fancy Bear jest wymierzona w użytkowników z e-mailami zawierającymi złośliwy plik RTF o nazwie „Terroryzm jądrowy bardzo realnym zagrożeniem” w celu polowania na obawy ofiar, że inwazja na Ukrainę przerodzi się w konflikt nuklearny, poinformowali badacze w poście. Treść dokumentu jest artykuł z grupy spraw międzynarodowych Atlantic Council, która bada możliwość użycia przez Putina broni jądrowej podczas wojny na Ukrainie.
Złośliwy plik wykorzystuje zdalny szablon osadzony w pliku Document.xml.rels w celu pobrania zdalnego pliku HTML z adresu URL http://kitten-268[.]frge[.]io/article[.]html. Plik HTML następnie wykorzystuje wywołanie JavaScript do window.location.href w celu załadowania i wykonania zakodowanego skryptu PowerShell przy użyciu schematu ms-msdt MSProtocol URI, stwierdzili naukowcy.
PowerShell ładuje ostateczny ładunek — wariant złodzieja .Net, który został wcześniej zidentyfikowany przez Google w innych kampaniach Fancy Bear na Ukrainie. Podczas gdy najstarszy wariant złodzieja wykorzystywał wyskakujące okienko z fałszywym komunikatem o błędzie, aby odwrócić uwagę użytkowników od tego, co robi, wariant wykorzystany w kampanii o tematyce nuklearnej tego nie robi, twierdzą naukowcy.
Jeśli chodzi o inne funkcje, ostatnio widziany wariant jest „prawie identyczny” z wcześniejszym, „z zaledwie kilkoma drobnymi refaktorami i kilkoma dodatkowymi poleceniami snu”, dodali.
Podobnie jak w przypadku poprzedniego wariantu, głównym celem złodzieja jest kradzież danych — w tym danych uwierzytelniających witrynę, takich jak nazwa użytkownika, hasło i adres URL — z kilku popularnych przeglądarek, w tym Google Chrome, Microsoft Edge i Firefox. Złośliwe oprogramowanie wykorzystuje następnie protokół poczty e-mail IMAP do eksfiltracji danych na swój serwer dowodzenia i kontroli w taki sam sposób, jak poprzedni wariant, ale tym razem do innej domeny.
„Stary wariant tego złodzieja połączony z mail[.]sartoc.com (144.208.77.68) w celu eksfiltracji danych” – napisali. „Nowy wariant wykorzystuje tę samą metodę, ale inną domenę, www.specialityllc[.]com. Co ciekawe, oba znajdują się w Dubaju.”
Właściciele stron internetowych najprawdopodobniej nie mają nic wspólnego z APT28, a grupa po prostu wykorzystuje opuszczone lub podatne na ataki witryny, dodali badacze.
- blockchain
- pomysłowość
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Rząd
- hacki
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- Luki w zabezpieczeniach
- zabezpieczenia stron internetowych
- zefirnet
