Fancy Bear folosește Name Threat Lure pentru a exploata Bug 1-Click

Grupul avansat de amenințări persistente Fancy Bear se află în spatele unui campanie de phishing care folosește spectrul războiului nuclear pentru a exploata un defect Microsoft cunoscut dintr-un singur clic. Scopul este de a furniza programe malware care pot fura acreditările din browserele Chrome, Firefox și Edge.

Atacurile din partea APT-ului legat de Rusia sunt legate de războiul dintre Rusia și Ucraina, potrivit cercetătorilor de la Malwarebytes Threat Intelligence. Ei raportează că Fancy Bear împinge documente rău intenționate, care au fost armate cu exploit-ul pentru Follina (CVE-2022-30190), un defect Microsoft cunoscut la un singur clic, conform a blog publicat săptămâna aceasta.

„Este prima dată când observăm că APT28 folosește Follina în operațiunile sale”, au scris cercetătorii în postare. Fancy Bear este cunoscut și ca APT28, Strontium și Sofacy.

Pe 20 iunie, cercetătorii Malwarebytes au observat pentru prima dată documentul armat, care descarcă și execută mai întâi un furt .Net raportat de Google. Grupul de analiză a amenințărilor (TAG) de la Google a declarat că Fancy Bear a folosit deja acest furator pentru a viza utilizatorii din Ucraina.

Echipa Ucrainei de Răspuns în Situații de Urgență Informatică (CERT-UA) de asemenea descoperit independent documentul rău intenționat folosit de Fancy Bear în recenta campanie de phishing, potrivit Malwarebytes.

Ursul în libertate

CERT-UA identificate anterior Fancy Bear ca unul dintre numeroasele APT-uri care lovesc Ucraina cu atacuri cibernetice în paralel cu invazia trupelor ruse care a început la sfârșitul lunii februarie. Se crede că grupul operează la ordinul informațiilor ruse pentru a aduna informații care ar fi utile agenției.

În trecut, Fancy Bear a fost asociat în atacuri care vizează alegeri in Statele Unite și Europa, precum și Hackuri împotriva agențiilor sportive și anti-doping legate de Jocurile Olimpice din 2020.

Cercetătorii au semnalat pentru prima dată Follina în aprilie, dar doar in luna mai a fost identificat oficial ca o exploatare de zi zero, cu un singur clic. Follina este asociat cu Microsoft Support Diagnostic Tool (MSDT) și folosește protocolul ms-msdt pentru a încărca cod rău intenționat din Word sau din alte documente Office atunci când sunt deschise.

Bug-ul este periculos din mai multe motive, dintre care nu în ultimul rând este suprafața sa largă de atac, deoarece afectează practic pe oricine folosește Microsoft Office pe toate versiunile de Windows acceptate în prezent. Dacă sunt exploatate cu succes, atacatorii pot obține drepturi de utilizator pentru a prelua în mod eficient un sistem și a instala programe, a vizualiza, modifica sau șterge date sau pentru a crea conturi noi.

Microsoft a corectat recent Follina în Marți Patch iunie eliberare dar rămâne sub exploatare activă de către actorii amenințărilor, inclusiv APT-urile cunoscute.

Amenințarea unui atac nuclear

Campania Follina a lui Fancy Bear vizează utilizatorii cu e-mailuri care conțin un fișier RTF rău intenționat numit „Terorismul nuclear, o amenințare foarte reală”, în încercarea de a ataca temerile victimelor că invazia Ucrainei se va transforma într-un conflict nuclear, au spus cercetătorii în postare. Conținutul documentului este un articol de la grupul de afaceri internaționale Atlantic Council care explorează posibilitatea ca Putin să folosească arme nucleare în războiul din Ucraina.

Fișierul rău intenționat folosește un șablon la distanță încorporat în fișierul Document.xml.rels pentru a prelua un fișier HTML la distanță de la adresa URL http://kitten-268[.]frge[.]io/article[.]html. Fișierul HTML utilizează apoi un apel JavaScript la window.location.href pentru a încărca și a executa un script PowerShell codificat folosind schema URI ms-msdt MSProtocol, au spus cercetătorii.

PowerShell încarcă sarcina utilă finală – o variantă a furtului .Net identificat anterior de Google în alte campanii Fancy Bear din Ucraina. În timp ce cea mai veche variantă a furtorului folosea un pop-up fals cu mesaj de eroare pentru a distrage atenția utilizatorilor de la ceea ce făcea, varianta folosită în campania cu tematică nucleară nu o face, au spus cercetătorii.

În alte funcționalități, varianta văzută recent este „aproape identică” cu cea anterioară, „cu doar câteva refactorări minore și câteva comenzi suplimentare de somn”, au adăugat ei.

Ca și în varianta anterioară, scopul principal al furatorului este de a fura date - inclusiv acreditările site-ului web, cum ar fi numele de utilizator, parola și adresa URL - din mai multe browsere populare, inclusiv Google Chrome, Microsoft Edge și Firefox. Malware-ul folosește apoi protocolul de e-mail IMAP pentru a exfiltra datele către serverul său de comandă și control, în același mod în care varianta anterioară a făcut-o, dar de data aceasta către un domeniu diferit, au spus cercetătorii.

„Vechea variantă a acestui furt s-a conectat la mail[.]sartoc.com (144.208.77.68) pentru a exfiltra datele”, au scris ei. „Noua variantă folosește aceeași metodă, dar un domeniu diferit, www.specialityllc[.]com. Interesant, ambele sunt situate în Dubai.”

Proprietarii site-urilor web cel mai probabil nu au nimic de-a face cu APT28, grupul profitând pur și simplu de site-urile abandonate sau vulnerabile, au adăugat cercetătorii.