فینسی بیئر 1-کلک بگ سے فائدہ اٹھانے کے لیے نیوک تھریٹ لالچ کا استعمال کرتا ہے۔

ایڈوانسڈ مستقل خطرہ گروپ فینسی بیئر ایک کے پیچھے ہے۔ فشنگ مہم جو کہ جوہری جنگ کے تماشے کا استعمال کرتے ہوئے ایک معلوم مائیکروسافٹ کی خامی کا فائدہ اٹھاتا ہے۔ مقصد مالویئر کی فراہمی ہے جو کروم، فائر فاکس اور ایج براؤزرز سے اسناد چرا سکتا ہے۔

Malwarebytes Threat Intelligence کے محققین کے مطابق، روس سے منسلک APT کے حملے روسی اور یوکرین کی جنگ سے منسلک ہیں۔ وہ رپورٹ کرتے ہیں کہ فینسی بیئر استحصال کے ساتھ ہتھیاروں سے بدسلوکی پر مبنی دستاویزات کو آگے بڑھا رہا ہے۔ فولینا (CVE-2022-30190)، مائیکروسافٹ ایک کلک کی ایک معروف خامی، ایک کے مطابق بلاگ پوسٹ اس ہفتے شائع ہوا۔

محققین نے پوسٹ میں لکھا، "یہ پہلا موقع ہے جب ہم نے APT28 کو اس کے آپریشنز میں فولینا کا استعمال کرتے ہوئے دیکھا ہے۔" فینسی بیئر کو APT28، Strontium اور Sofacy کے نام سے بھی جانا جاتا ہے۔

20 جون کو، Malwarebytes کے محققین نے سب سے پہلے ہتھیاروں والی دستاویز کا مشاہدہ کیا، جو پہلے .Net اسٹیلر کو ڈاؤن لوڈ اور اس پر عمل درآمد کرتا ہے۔ گوگل کی طرف سے اطلاع دی گئی. گوگل کے تھریٹ اینالیسس گروپ (TAG) نے کہا کہ فینسی بیئر پہلے ہی اس اسٹیلر کو یوکرین میں صارفین کو نشانہ بنانے کے لیے استعمال کر چکا ہے۔

یوکرین کی کمپیوٹر ایمرجنسی رسپانس ٹیم (CERT-UA) آزادانہ طور پر بھی دریافت کیا Malwarebytes کے مطابق، حالیہ فشنگ مہم میں فینسی بیئر کی طرف سے استعمال کردہ بدنیتی پر مبنی دستاویز۔

بیئر آن دی لوز

CERT-UA پہلے شناخت فینسی بیئر ان متعدد APTs میں سے ایک ہے جو فروری کے آخر میں شروع ہونے والے روسی فوجیوں کے حملے کے متوازی طور پر سائبر حملوں سے یوکرین پر حملہ کر رہے ہیں۔ خیال کیا جاتا ہے کہ یہ گروپ روسی انٹیلی جنس کی ایماء پر ایسی معلومات اکٹھا کرنے کے لیے کام کر رہا ہے جو ایجنسی کے لیے مفید ہو گی۔

ماضی میں فینسی ریچھ انتخابات کو نشانہ بنانے والے حملوں میں ملوث رہا ہے۔ ریاستہائے متحدہ امریکہ میں اور یورپ، اسی طرح کھیلوں اور اینٹی ڈوپنگ ایجنسیوں کے خلاف ہیکس 2020 کے اولمپک گیمز سے متعلق۔

محققین نے سب سے پہلے اپریل میں فولینا کو جھنڈا لگایا، لیکن صرف مئی میں کیا اسے باضابطہ طور پر صفر دن، ایک کلک کے استحصال کے طور پر شناخت کیا گیا تھا۔ فولینا مائیکروسافٹ سپورٹ ڈائیگنوسٹک ٹول (MSDT) کے ساتھ منسلک ہے اور MS-msdt پروٹوکول کا استعمال کرتا ہے تاکہ وہ ورڈ یا دیگر آفس دستاویزات سے بدنیتی کوڈ کو لوڈ کر سکیں جب وہ کھولے جاتے ہیں۔

یہ بگ کئی وجوہات کی بناء پر خطرناک ہے- جن میں سے کم از کم اس کی وسیع حملے کی سطح نہیں ہے، کیونکہ یہ بنیادی طور پر ونڈوز کے تمام فی الحال تعاون یافتہ ورژنز پر مائیکروسافٹ آفس استعمال کرنے والے ہر شخص کو متاثر کرتا ہے۔ اگر کامیابی سے استفادہ کیا جاتا ہے تو، حملہ آور کسی نظام کو مؤثر طریقے سے سنبھالنے اور پروگرام انسٹال کرنے، ڈیٹا دیکھنے، تبدیل کرنے یا حذف کرنے، یا نئے اکاؤنٹس بنانے کے لیے صارف کے حقوق حاصل کر سکتے ہیں۔

مائیکروسافٹ نے حال ہی میں فولینا کو اس میں پیچ کیا۔ جون پیچ منگل رہائی لیکن یہ باقی ہے فعال استحصال کے تحت دھمکی دینے والے اداکاروں کے ذریعے، بشمول معروف APTs۔

ایٹمی حملے کا خطرہ

محققین نے پوسٹ میں کہا کہ فینسی بیئر کی فولینا مہم ایسے صارفین کو نشانہ بناتی ہے جن کے ساتھ ای میلز ہوتی ہیں جن میں "نیوکلیئر ٹیررازم ایک بہت ہی حقیقی خطرہ" نامی نقصان دہ RTF فائل ہوتی ہے۔ دستاویز کا مواد ایک ہے۔ مضمون بین الاقوامی امور کے گروپ اٹلانٹک کونسل سے جو اس امکان کا جائزہ لے رہا ہے کہ پوٹن یوکرین کی جنگ میں جوہری ہتھیار استعمال کریں گے۔

نقصان دہ فائل URL http://kitten-268[.]frge[.]io/article[.]html سے ریموٹ HTML فائل بازیافت کرنے کے لیے Document.xml.rels فائل میں سرایت شدہ ریموٹ ٹیمپلیٹ کا استعمال کرتی ہے۔ محققین نے کہا کہ ایچ ٹی ایم ایل فائل پھر ms-msdt MSProtocol URI اسکیم کا استعمال کرتے ہوئے ایک انکوڈ شدہ پاور شیل اسکرپٹ کو لوڈ اور اس پر عمل کرنے کے لیے window.location.href پر جاوا اسکرپٹ کال کا استعمال کرتی ہے۔

پاور شیل حتمی پے لوڈ لوڈ کرتا ہے – نیٹ چوری کرنے والے کی ایک قسم جس کی شناخت پہلے گوگل نے یوکرین میں دیگر فینسی بیئر مہموں میں کی تھی۔ محققین کا کہنا ہے کہ اگرچہ چوری کرنے والے کے سب سے پرانے ورژن نے صارفین کو اپنے کام سے ہٹانے کے لیے ایک جعلی ایرر میسج پاپ اپ کا استعمال کیا، لیکن نیوکلیئر تھیم والی مہم میں استعمال ہونے والا ویرینٹ ایسا نہیں کرتا ہے۔

دوسری فعالیت میں، حال ہی میں دیکھا گیا ویریئنٹ پہلے والے سے "تقریبا ایک جیسا" ہے، "صرف چند معمولی ریفیکٹرز اور کچھ اضافی نیند کمانڈز کے ساتھ،" انہوں نے مزید کہا۔

پچھلے ورژن کی طرح، چوری کرنے والے کا بنیادی مقصد گوگل کروم، مائیکروسافٹ ایج اور فائر فاکس سمیت کئی مشہور براؤزرز سے ویب سائٹ کی اسناد جیسے صارف نام، پاس ورڈ اور یو آر ایل سمیت ڈیٹا چوری کرنا ہے۔ محققین نے کہا کہ میلویئر پھر IMAP ای میل پروٹوکول کا استعمال ڈیٹا کو اپنے کمانڈ اینڈ کنٹرول سرور پر اسی طرح سے نکالتا ہے جس طرح پہلے کی شکل میں کیا گیا تھا لیکن اس بار ایک مختلف ڈومین پر، محققین نے کہا۔

انہوں نے لکھا، "اس اسٹیلر کا پرانا ورژن میل[.]sartoc.com (144.208.77.68) سے ڈیٹا کو نکالنے کے لیے منسلک ہے۔" "نیا ویرینٹ ایک ہی طریقہ استعمال کرتا ہے لیکن ایک مختلف ڈومین، www.specialityllc[.]com۔ دلچسپ بات یہ ہے کہ دونوں دبئی میں واقع ہیں۔

محققین نے مزید کہا کہ ویب سائٹس کے مالکان کا APT28 سے کوئی لینا دینا نہیں ہے، گروپ صرف ترک شدہ یا کمزور سائٹس کا فائدہ اٹھا رہا ہے۔