APT, Chrome, Firefox ve Edge tarayıcılarının kimlik bilgilerini ele geçiren kötü amaçlı yazılım yüklemek için bilinen bir Microsoft kusurunu kötü amaçlı bir belgeyle eşleştiriyor.
Gelişmiş kalıcı tehdit grubu Fancy Bear, bir saldırının arkasında kimlik avı kampanyası Microsoft'un bilinen tek tıklamalı kusurundan yararlanmak için nükleer savaş hayaletini kullanan bir program. Amaç, Chrome, Firefox ve Edge tarayıcılarından kimlik bilgilerini çalabilecek kötü amaçlı yazılımlar sunmaktır.
Malwarebytes Threat Intelligence araştırmacılarına göre, Rusya bağlantılı APT'nin saldırıları Rusya ve Ukrayna savaşıyla bağlantılı. Fancy Bear'ın bu istismarla silah haline getirilmiş kötü amaçlı belgeleri dağıttığını bildiriyorlar. Follina (CVE-2022-30190), Microsoft'un bilinen bir tek tıklama kusuru blog yazısı bu hafta yayınlandı.
Araştırmacılar gönderide "Bu, APT28'in operasyonlarında Follina'yı kullandığını ilk kez gözlemliyoruz" diye yazdı. Fancy Bear ayrıca APT28, Stronsiyum ve Sofacy olarak da bilinir.
20 Haziran'da Malwarebytes araştırmacıları ilk olarak bir .Net hırsızını indirip çalıştıran silah haline getirilmiş belgeyi gözlemledi Google tarafından bildirildi. Google'ın Tehdit Analiz Grubu (TAG), Fancy Bear'ın bu hırsızı Ukrayna'daki kullanıcıları hedeflemek için zaten kullandığını söyledi.
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) ayrıca bağımsız olarak keşfedildi Malwarebytes'e göre Fancy Bear tarafından son kimlik avı kampanyasında kullanılan kötü amaçlı belge.
Gevşemeye Devam Edin
CERT-UA önceden tanımlanmış Fancy Bear, Şubat ayı sonlarında başlayan Rus birliklerinin işgaline paralel olarak Ukrayna'yı siber saldırılarla vuran çok sayıda APT'den biri. Grubun, teşkilata faydalı olacak bilgileri toplamak amacıyla Rus istihbaratının emriyle çalıştığına inanılıyor.
Geçmişte Süslü Ayı seçimleri hedef alan saldırılarla ilişkilendirilmişti Birleşik Devletlerde ve AVRUPA, Hem de Spor ve dopingle mücadele kuruluşlarına yönelik saldırılar 2020 Olimpiyat Oyunları ile ilgili.
Araştırmacılar Follina'yı ilk olarak Nisan ayında işaretledi ancak sadece mayıs ayında resmi olarak sıfır gün, tek tıklamayla istismar olarak tanımlandı mı? Follina, Microsoft Destek Teşhis Aracı (MSDT) ile ilişkilidir ve açıldığında Word veya diğer Office belgelerinden kötü amaçlı kod yüklemek için ms-msdt protokolünü kullanır.
Hata, çeşitli nedenlerden dolayı tehlikelidir; bunlardan en önemlisi, geniş saldırı yüzeyidir; temel olarak Windows'un şu anda desteklenen tüm sürümlerinde Microsoft Office kullanan herkesi etkilemektedir. Başarılı bir şekilde yararlanılırsa saldırganlar, sistemi etkili bir şekilde ele geçirmek ve programları yüklemek, verileri görüntülemek, değiştirmek veya silmek veya yeni hesaplar oluşturmak için kullanıcı hakları elde edebilir.
Microsoft yakın zamanda Follina'yı yamaladı Haziran Yaması Salı bırak ama kalıyor aktif istismar altında bilinen APT'ler de dahil olmak üzere tehdit aktörleri tarafından.
Nükleer Saldırı Tehdidi
Araştırmacılar, gönderide, Fancy Bear'ın Follina kampanyasının, mağdurların Ukrayna işgalinin nükleer bir çatışmaya dönüşeceği yönündeki korkularını beslemek amacıyla "Nükleer Terörizm Çok Gerçek Bir Tehdit" adlı kötü amaçlı bir RTF dosyası taşıyan e-postalarla kullanıcıları hedef aldığını söyledi. Belgenin içeriği bir göre Putin'in Ukrayna'daki savaşta nükleer silah kullanma olasılığını araştıran uluslararası ilişkiler grubu Atlantic Council'den.
Kötü amaçlı dosya, http://kitten-268[.]frge[.]io/article[.]html URL'sinden uzak bir HTML dosyası almak için Document.xml.rels dosyasına gömülü bir uzak şablon kullanıyor. Araştırmacılar, HTML dosyasının daha sonra ms-msdt MSProtocol URI şemasını kullanarak kodlanmış bir PowerShell betiğini yüklemek ve yürütmek için window.location.href'e bir JavaScript çağrısı kullandığını söyledi.
PowerShell, daha önce Google tarafından Ukrayna'daki diğer Fancy Bear kampanyalarında tanımlanan .Net hırsızının bir çeşidi olan son veriyi yükler. Araştırmacılar, hırsızın en eski çeşidinin, kullanıcıları yaptığı işten uzaklaştırmak için sahte bir hata mesajı açılır penceresi kullanmasına karşın, nükleer temalı kampanyada kullanılan varyantın bunu yapmadığını söyledi.
Diğer işlevlerde, yakın zamanda görülen varyantın öncekiyle "neredeyse aynı" olduğunu, "yalnızca birkaç küçük yeniden faktör ve bazı ek uyku komutları dışında" olduğunu eklediler.
Önceki varyantta olduğu gibi, hırsızın asıl amacı, Google Chrome, Microsoft Edge ve Firefox da dahil olmak üzere çeşitli popüler tarayıcılardan kullanıcı adı, şifre ve URL gibi web sitesi kimlik bilgileri de dahil olmak üzere verileri çalmaktır. Araştırmacılar, kötü amaçlı yazılımın daha sonra verileri önceki varyantın yaptığı gibi komuta ve kontrol sunucusuna sızdırmak için IMAP e-posta protokolünü kullandığını, ancak bu sefer farklı bir alana aktardığını söyledi.
"Bu hırsızın eski versiyonu veri sızdırmak için mail[.]sartoc.com'a (144.208.77.68) bağlandı" diye yazdılar. "Yeni varyant aynı yöntemi kullanıyor ancak farklı bir alan adı olan www.specialityllc[.]com'u kullanıyor. İlginçtir ki her ikisi de Dubai'de bulunuyor."
Araştırmacılar, web sitelerinin sahiplerinin büyük olasılıkla APT28 ile hiçbir ilgisi olmadığını, grubun yalnızca terk edilmiş veya savunmasız sitelerden yararlandığını ekledi.
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- siber suçluların
- Siber güvenlik
- iç güvenlik bakanlığı
- dijital cüzdanlar
- güvenlik duvarı
- Hükümet
- kesmek
- Kaspersky
- kötü amaçlı yazılım
- Mcafee
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- VPN
- güvenlik açıkları
- web sitesi güvenliği
- zefirnet
