APT объединяет известную уязвимость Microsoft с вредоносным документом для загрузки вредоносного ПО, которое получает учетные данные из браузеров Chrome, Firefox и Edge.
Группа продвинутых постоянных угроз Fancy Bear стоит за фишинговая кампания который использует призрак ядерной войны, чтобы использовать известную уязвимость Microsoft в один клик. Цель состоит в том, чтобы доставить вредоносное ПО, которое может украсть учетные данные из браузеров Chrome, Firefox и Edge.
По мнению исследователей Malwarebytes Threat Intelligence, атаки APT, связанные с Россией, связаны с войной между Россией и Украиной. Они сообщают, что Fancy Bear распространяет вредоносные документы с использованием эксплойта для Follina (CVE-2022-30190), известная уязвимость Microsoft, связанная с одним щелчком мыши. блоге опубликованной на этой неделе.
«Мы впервые наблюдаем, как APT28 использует Follina в своих операциях», — написали исследователи в своем посте. Fancy Bear также известен как APT28, Strontium и Sofacy.
20 июня исследователи Malwarebytes впервые обнаружили вооруженный документ, который сначала загружает и запускает кражу .Net. сообщает Google. Группа анализа угроз Google (TAG) заявила, что Fancy Bear уже использовала этот похититель для атак на пользователей в Украине.
Группа реагирования на компьютерные инциденты Украины (CERT-UA) также независимо обнаружил По данным Malwarebytes, вредоносный документ, использованный Fancy Bear в недавней фишинговой кампании.
Медведь на свободе
CERT-UA ранее идентифицированный Fancy Bear как один из многочисленных АПТ, атакующих Украину кибератаками параллельно с начавшимся в конце февраля вторжением российских войск. Считается, что группа действует по указанию российской разведки для сбора информации, которая будет полезна агентству.
В прошлом Fancy Bear был связан с атаками на выборы. В Соединенных Штатах и Европе, так же как взломы спортивных и антидопинговых агентств связанных с Олимпийскими играми 2020 года.
Исследователи впервые отметили Фоллину в апреле, но только в мае был ли он официально идентифицирован как эксплойт нулевого дня с одним щелчком мыши. Follina связана с Microsoft Support Diagnostic Tool (MSDT) и использует протокол ms-msdt для загрузки вредоносного кода из Word или других документов Office при их открытии.
Ошибка опасна по ряду причин, не последней из которых является ее широкая поверхность атаки, поскольку она в основном затрагивает всех, кто использует Microsoft Office во всех поддерживаемых в настоящее время версиях Windows. В случае успешного использования злоумышленники могут получить права пользователя для эффективного захвата системы и установки программ, просмотра, изменения или удаления данных или создания новых учетных записей.
Microsoft недавно исправила Follina в своем Июньский патч вторник выпустить, но он остается под активным эксплойтом злоумышленниками, в том числе известными APT.
Угроза ядерной атаки
Кампания Fancy Bear Follina нацелена на пользователей, отправивших электронные письма с вредоносным RTF-файлом под названием «Ядерный терроризм — реальная угроза», в попытке воспользоваться опасениями жертв, что вторжение в Украину перерастет в ядерный конфликт, говорится в сообщении исследователей. Содержание документа представляет собой гайд от группы по международным делам Atlantic Council, которая изучает возможность использования Путиным ядерного оружия в войне на Украине.
Вредоносный файл использует удаленный шаблон, встроенный в файл Document.xml.rels, для получения удаленного HTML-файла по URL-адресу http://kitten-268[.]frge[.]io/article[.]html. Затем файл HTML использует вызов JavaScript для window.location.href для загрузки и выполнения закодированного сценария PowerShell с использованием схемы URI ms-msdt MSProtocol, говорят исследователи.
PowerShell загружает последнюю полезную нагрузку — вариант кражи .Net, который ранее был идентифицирован Google в других кампаниях Fancy Bear в Украине. По словам исследователей, в то время как самый старый вариант стилера использовал всплывающее окно с поддельным сообщением об ошибке, чтобы отвлечь пользователей от того, что он делал, вариант, использованный в кампании на ядерную тематику, этого не делает.
В других функциональных возможностях недавно замеченный вариант «почти идентичен» предыдущему, «всего с несколькими незначительными рефакторингами и некоторыми дополнительными командами сна», добавили они.
Как и в предыдущем варианте, основной целью стилера является кража данных, включая учетные данные веб-сайта, такие как имя пользователя, пароль и URL-адрес, из нескольких популярных браузеров, включая Google Chrome, Microsoft Edge и Firefox. Затем вредоносное ПО использует протокол электронной почты IMAP для эксфильтрации данных на свой командно-контрольный сервер так же, как и предыдущий вариант, но на этот раз в другой домен, говорят исследователи.
«Старый вариант этого стилера подключался к почте [.] sartoc.com (144.208.77.68) для эксфильтрации данных», — написали они. «В новом варианте используется тот же метод, но другой домен — www.specialityllc[.]com. Интересно, что оба расположены в Дубае».
Исследователи добавили, что владельцы веб-сайтов, скорее всего, не имеют ничего общего с APT28, поскольку группа просто использует заброшенные или уязвимые сайты.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://threatpost.com/fancy-bear-nuke-threat-lure/180056/
- :имеет
- :является
- :нет
- 20
- 2020
- 50
- 700
- 77
- a
- По
- Учетные записи
- активный
- актеры
- добавленный
- дополнительный
- плюс
- Дела
- против
- агентство
- Все
- уже
- причислены
- an
- анализ
- и
- кто угодно
- апрель
- APT
- МЫ
- AS
- связанный
- At
- атаковать
- нападки
- попытка
- в основном
- BE
- медведь
- было
- начал
- за
- распространенной
- изоферменты печени
- браузеры
- Ошибка
- но
- by
- призывают
- под названием
- Кампания
- Кампании
- CAN
- проведение
- изменение
- Chrome
- код
- COM
- компьютер
- конфликт
- подключенный
- содержание
- Совет
- Создайте
- Полномочия
- В настоящее время
- опасно
- данным
- доставить
- диагностический
- DID
- различный
- do
- документ
- Документация
- приносит
- дело
- домен
- загрузок
- Дубай
- Ранее
- Edge
- фактически
- Выборы
- Писем
- встроенный
- крайняя необходимость
- ошибка
- обострять
- выполнять
- Выполняет
- Эксплуатировать
- Эксплуатируемый
- исследует
- не настоящие
- страх
- февраль
- несколько
- Файл
- окончательный
- Firefox
- Во-первых,
- Впервые
- Помеченные
- недостаток
- Что касается
- от
- функциональность
- Gain
- Игры
- собирать
- цель
- Google Chrome
- группы
- Есть
- HTML
- HTTP
- HTTPS
- идентифицированный
- if
- in
- В других
- В том числе
- самостоятельно
- info
- INFOSEC
- устанавливать
- Интеллекта
- Мультиязычность
- в
- вторжение
- IT
- ЕГО
- JavaScript
- июнь
- всего
- известный
- Поздно
- наименее
- Вероятно
- связанный
- загрузка
- грузы
- расположенный
- расположение
- Главная
- вредоносных программ
- Malwarebytes
- макс-ширина
- сообщение
- метод
- Microsoft
- Microsoft Edge
- Microsoft Office
- небольшая
- самых
- сеть
- Новые
- Новостные рассылки
- ничего
- ядерный
- Ядерное оружие
- номер
- многочисленный
- наблюдается
- of
- Офис
- Официально
- Старый
- самый старший
- Олимпийский
- Олимпийские игры
- on
- ONE
- открытый
- операционный
- Операционный отдел
- or
- Другое
- за
- обзор
- Владельцы
- спаривание
- Параллельные
- Пароль
- мимо
- Патчи
- фишинг
- фишинговая кампания
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- сообщения
- Популярное
- возможность
- После
- PowerShell
- предыдущий
- предварительно
- добыча
- Программы
- протокол
- опубликованный
- Нажимать
- Путин
- реальные
- последний
- недавно
- Связанный
- освободить
- остатки
- удаленные
- отчету
- исследователи
- ответ
- правые
- русский
- Сказал
- то же
- схема
- скрипт
- видел
- сервер
- несколько
- просто
- Сайтов
- спать
- некоторые
- привидение
- Успешно
- такие
- поддержка
- Поддержанный
- Поверхность
- система
- TAG
- взять
- с
- цель
- направлены
- направлена против
- команда
- шаблон
- терроризм
- который
- Ассоциация
- тогда
- они
- этой
- На этой неделе
- угроза
- актеры угрозы
- разведка угроз
- Связанный
- время
- в
- инструментом
- Украина
- украинская война
- Объединенный
- URI
- URL
- использование
- используемый
- Информация о пользователе
- пользователей
- использования
- через
- Вариант
- очень
- Вид
- Уязвимый
- войны
- Война на Украине
- законопроект
- Путь..
- Оружие
- Вебсайт
- веб-сайты
- неделя
- ЧТО Ж
- Что
- когда
- , которые
- в то время как
- широкий
- будете
- окно
- окна
- Word
- бы
- писал
- XML
- зефирнет