APT združuje znano Microsoftovo napako z zlonamernim dokumentom za nalaganje zlonamerne programske opreme, ki pridobi poverilnice iz brskalnikov Chrome, Firefox in Edge.
Za a phishing kampanje ki uporablja spekter jedrske vojne za izkoriščanje znane Microsoftove napake z enim klikom. Cilj je dostaviti zlonamerno programsko opremo, ki lahko ukrade poverilnice iz brskalnikov Chrome, Firefox in Edge.
Napadi APT, povezanega z Rusijo, so po mnenju raziskovalcev Malwarebytes Threat Intelligence povezani z rusko in ukrajinsko vojno. Poročajo, da Fancy Bear potiska zlonamerne dokumente, oborožene s podvigom za Follina (CVE-2022-30190), znana Microsoftova napaka z enim klikom, glede na a blog post objavljen ta teden.
"To je prvič, da smo opazili, da APT28 uporablja Follino pri svojih operacijah," so raziskovalci zapisali v objavi. Fancy Bear je znan tudi kot APT28, Strontium in Sofacy.
20. junija so raziskovalci Malwarebytes prvič opazili dokument z orožjem, ki najprej prenese in izvede krajo .Net poroča Google. Googlova skupina za analizo groženj (TAG) je dejala, da je Fancy Bear že uporabil tega krajca za ciljanje na uporabnike v Ukrajini.
Ukrajinska ekipa za odzivanje na računalniške nujne primere (CERT-UA) tudi neodvisno odkrili zlonamerni dokument, ki ga je Fancy Bear uporabil v nedavni kampanji lažnega predstavljanja, poroča Malwarebytes.
Bear on the Loose
CERT-UA predhodno identificirani Fancy Bear kot eden od številnih APT-jev, ki Ukrajino pretepajo s kibernetskimi napadi vzporedno z invazijo ruskih čet, ki se je začela konec februarja. Skupina naj bi delovala po naročilu ruske obveščevalne službe za zbiranje informacij, ki bi bile koristne za agencijo.
V preteklosti je bil Fancy Bear povezan z napadi na volitve V Združenih državah Amerike in Evropa, Pa tudi vdori proti športnim in protidopinškim agencijam povezanih z olimpijskimi igrami 2020.
Raziskovalci so Follina prvič označili aprila, vendar šele maja je bilo uradno opredeljeno kot izkoriščanje z enim klikom zero-day. Follina je povezana z Microsoftovim diagnostičnim orodjem za podporo (MSDT) in uporablja protokol ms-msdt za nalaganje zlonamerne kode iz Wordovih ali drugih Officeovih dokumentov, ko jih odprete.
Napaka je nevarna iz več razlogov – nenazadnje je njena široka napadalna površina, saj v bistvu vpliva na vsakogar, ki uporablja Microsoft Office v vseh trenutno podprtih različicah sistema Windows. Če jih uspešno izkoristijo, lahko napadalci pridobijo uporabniške pravice za učinkovit prevzem sistema in namestitev programov, ogled, spreminjanje ali brisanje podatkov ali ustvarjanje novih računov.
Microsoft je nedavno popravil Follina v svojem Junij Patch torek sprostitev, vendar ostaja pod aktivnim izkoriščanjem akterji groženj, vključno z znanimi APT-ji.
Grožnja jedrskega napada
Kampanja Follina podjetja Fancy Bear cilja na uporabnike z e-poštnimi sporočili, ki vsebujejo zlonamerno datoteko RTF z naslovom »Jedrski terorizem zelo resnična grožnja«, da bi prevzela strahove žrtev, da bo invazija na Ukrajino prerasla v jedrski konflikt, so v objavi zapisali raziskovalci. Vsebina dokumenta je an članek iz skupine za mednarodne zadeve Atlantic Council, ki raziskuje možnost, da bi Putin uporabil jedrsko orožje v vojni v Ukrajini.
Zlonamerna datoteka uporablja oddaljeno predlogo, vdelano v datoteko Document.xml.rels, da pridobi oddaljeno datoteko HTML z naslova URL http://kitten-268[.]frge[.]io/article[.]html. Datoteka HTML nato uporabi klic JavaScript za window.location.href za nalaganje in izvedbo kodiranega skripta PowerShell z uporabo sheme ms-msdt MSProtocol URI, so povedali raziskovalci.
PowerShell naloži končni koristni tovor – različico .Net stealerja, ki jo je Google prej prepoznal v drugih kampanjah Fancy Bear v Ukrajini. Medtem ko je najstarejša različica kradljivca uporabljala lažno pojavno okno s sporočilom o napaki, da bi uporabnike odvrnila od tega, kar počne, različica, uporabljena v kampanji z jedrsko tematiko, tega ne stori, pravijo raziskovalci.
V drugih funkcionalnostih je nedavno videna različica "skoraj enaka" prejšnji, "z le nekaj manjšimi refaktorji in nekaterimi dodatnimi ukazi za spanje," so dodali.
Tako kot pri prejšnji različici je glavni namen kradljivca ukrasti podatke – vključno s poverilnicami spletnega mesta, kot so uporabniško ime, geslo in URL – iz več priljubljenih brskalnikov, vključno z Google Chrome, Microsoft Edge in Firefox. Zlonamerna programska oprema nato uporabi e-poštni protokol IMAP za eksfiltracijo podatkov v svoj ukazno-nadzorni strežnik na enak način kot prejšnja različica, vendar tokrat v drugo domeno, pravijo raziskovalci.
"Stara različica tega kradljivca je bila povezana z mail[.]sartoc.com (144.208.77.68) za izločanje podatkov," so zapisali. »Nova različica uporablja isto metodo, vendar drugo domeno, www.specialityllc[.]com. Zanimivo je, da se oba nahajata v Dubaju.«
Lastniki spletnih strani najverjetneje nimajo nič opraviti z APT28, saj skupina preprosto izkorišča zapuščena ali ranljiva mesta, dodajajo raziskovalci.
- blockchain
- coingenius
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- vlada
- žaga
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- Ranljivosti
- spletna varnost
- zefirnet
