APT поєднує відомий недолік Microsoft із шкідливим документом для завантаження шкідливого програмного забезпечення, яке перехоплює облікові дані з браузерів Chrome, Firefox та Edge.
Група розширених стійких загроз Fancy Bear стоїть за а фішинг-кампанія який використовує примару ядерної війни, щоб використати відомий недолік Microsoft одним клацанням миші. Мета – розмістити зловмисне програмне забезпечення, яке може викрасти облікові дані з браузерів Chrome, Firefox і Edge.
За словами дослідників з Malwarebytes Threat Intelligence, атаки пов’язаного з Росією APT пов’язані з війною Росії та України. Вони повідомляють, що Fancy Bear просуває шкідливі документи, озброєні за допомогою експлойта Фолліна (CVE-2022-30190), відомий недолік Microsoft в один клік, згідно з а блог опубліковано цього тижня.
«Це перший раз, коли ми спостерігали, як APT28 використовує Follina у своїх операціях», — пишуть дослідники. Fancy Bear також відомий як APT28, Strontium і Sofacy.
20 червня дослідники Malwarebytes вперше помітили збройний документ, який першим завантажує та виконує крадіжку .Net повідомляє Google. Група аналізу загроз Google (TAG) заявила, що Fancy Bear вже використовував цей злодій для націлювання на користувачів в Україні.
Команда реагування на комп'ютерні надзвичайні ситуації України (CERT-UA) також самостійно виявлено шкідливий документ, використаний Fancy Bear в нещодавній фішинговій кампанії, повідомляє Malwarebytes.
Ведмідь на волі
CERT-UA раніше визначені Fancy Bear як один із численних APT, які забивають Україну кібератаками паралельно з вторгненням російських військ, яке почалося наприкінці лютого. Вважається, що ця група діє на замовлення російської розвідки, щоб зібрати інформацію, яка була б корисною для агентства.
У минулому Fancy Bear був пов’язаний з атаками, спрямованими на вибори в Сполучених Штатах та Європа, А також хаки проти спортивних і антидопінгових агентств пов’язані з Олімпійськими іграми 2020 року.
Дослідники вперше помітили Фолліна в квітні, але тільки в травні чи був він офіційно визначений як експлойт нульового дня в один клік. Follina пов’язано із засобом діагностики підтримки Microsoft (MSDT) і використовує протокол ms-msdt для завантаження шкідливого коду з Word або інших документів Office, коли вони відкриті.
Помилка небезпечна з кількох причин, серед яких не остання — широка поверхня атаки, оскільки вона в основному впливає на всіх, хто використовує Microsoft Office у всіх підтримуваних на даний момент версіях Windows. У разі успішної експлуатації зловмисники можуть отримати права користувача, щоб ефективно захоплювати систему та встановлювати програми, переглядати, змінювати або видаляти дані або створювати нові облікові записи.
Microsoft нещодавно виправила Follina у своєму Червневий патч-вівторок звільнити, але воно залишилося під активним експлуатацією з боку суб’єктів загрози, включаючи відомих APT.
Загроза ядерної атаки
Кампанія Fancy Bear's Follina націлена на користувачів, які надсилають електронні листи зі зловмисним файлом RTF під назвою «Ядерний тероризм – дуже реальна загроза», намагаючись використати побоювання жертв щодо того, що вторгнення в Україну переросте у ядерний конфлікт, йдеться у повідомленні дослідників. Зміст документа є стаття від міжнародної групи Atlantic Council, яка досліджує можливість застосування Путіним ядерної зброї у війні в Україні.
Шкідливий файл використовує віддалений шаблон, вбудований у файл Document.xml.rels, щоб отримати віддалений файл HTML з URL-адреси http://kitten-268[.]frge[.]io/article[.]html. Потім HTML-файл використовує виклик JavaScript до window.location.href для завантаження та виконання закодованого сценарію PowerShell за допомогою схеми URI ms-msdt MSProtocol, сказали дослідники.
PowerShell завантажує остаточне корисне навантаження – варіант крадіжки .Net, який Google раніше ідентифікував в інших кампаніях Fancy Bear в Україні. У той час як у найстарішому варіанті зловмисника використовувалося підроблене спливаюче вікно про помилку, щоб відвернути користувачів від того, що він робив, варіант, використаний в кампанії на ядерну тематику, цього не робить, кажуть дослідники.
Що стосується інших функцій, нещодавно побачений варіант «майже ідентичний» попередньому, «з кількома незначними рефакторингами та деякими додатковими командами сну», додали вони.
Як і в попередньому варіанті, головна мета злодія полягає в крадіжці даних, включаючи облікові дані веб-сайту, такі як ім’я користувача, пароль та URL-адреса, з кількох популярних браузерів, включаючи Google Chrome, Microsoft Edge та Firefox. Зловмисне програмне забезпечення потім використовує протокол електронної пошти IMAP для ексфільтрації даних на свій командно-контрольний сервер так само, як і попередній варіант, але цього разу в інший домен, сказали дослідники.
«Старий варіант цього злодійника підключився до mail[.]sartoc.com (144.208.77.68) для вилучення даних», — написали вони. «Новий варіант використовує той самий метод, але інший домен, www.specialityllc[.]com. Цікаво, що обидва розташовані в Дубаї».
Дослідники додали, що власники веб-сайтів, швидше за все, не мають жодного відношення до APT28, оскільки група просто користується перевагами покинутих або вразливих сайтів.
- blockchain
- coingenius
- крипто-валютні кошельки
- криптообмін
- кібер-безпеки
- кіберзлочинці
- Кібербезпека
- управління внутрішньої безпеки
- цифрові гаманці
- брандмауер
- Уряд
- хакі
- Kaspersky
- шкідливих програм
- Макафі
- NexBLOC
- plato
- платон ai
- Інформація про дані Платона
- Гра Платон
- PlatoData
- platogaming
- VPN
- Уразливості
- безпеки веб-сайтів
- зефірнет
