اے پی ٹی مالویئر کو لوڈ کرنے کے لیے مائیکروسافٹ کی ایک معروف خامی کو ایک بدنیتی پر مبنی دستاویز کے ساتھ جوڑ رہا ہے جو کروم، فائر فاکس اور ایج براؤزرز کی اسناد کو پکڑتا ہے۔
ایڈوانسڈ مستقل خطرہ گروپ فینسی بیئر ایک کے پیچھے ہے۔ فشنگ مہم جو کہ جوہری جنگ کے تماشے کا استعمال کرتے ہوئے ایک معلوم مائیکروسافٹ کی خامی کا فائدہ اٹھاتا ہے۔ مقصد مالویئر کی فراہمی ہے جو کروم، فائر فاکس اور ایج براؤزرز سے اسناد چرا سکتا ہے۔
Malwarebytes Threat Intelligence کے محققین کے مطابق، روس سے منسلک APT کے حملے روسی اور یوکرین کی جنگ سے منسلک ہیں۔ وہ رپورٹ کرتے ہیں کہ فینسی بیئر استحصال کے ساتھ ہتھیاروں سے بدسلوکی پر مبنی دستاویزات کو آگے بڑھا رہا ہے۔ فولینا (CVE-2022-30190)، مائیکروسافٹ ایک کلک کی ایک معروف خامی، ایک کے مطابق بلاگ پوسٹ اس ہفتے شائع ہوا۔
محققین نے پوسٹ میں لکھا، "یہ پہلا موقع ہے جب ہم نے APT28 کو اس کے آپریشنز میں فولینا کا استعمال کرتے ہوئے دیکھا ہے۔" فینسی بیئر کو APT28، Strontium اور Sofacy کے نام سے بھی جانا جاتا ہے۔
20 جون کو، Malwarebytes کے محققین نے سب سے پہلے ہتھیاروں والی دستاویز کا مشاہدہ کیا، جو پہلے .Net اسٹیلر کو ڈاؤن لوڈ اور اس پر عمل درآمد کرتا ہے۔ گوگل کی طرف سے اطلاع دی گئی. گوگل کے تھریٹ اینالیسس گروپ (TAG) نے کہا کہ فینسی بیئر پہلے ہی اس اسٹیلر کو یوکرین میں صارفین کو نشانہ بنانے کے لیے استعمال کر چکا ہے۔
یوکرین کی کمپیوٹر ایمرجنسی رسپانس ٹیم (CERT-UA) آزادانہ طور پر بھی دریافت کیا Malwarebytes کے مطابق، حالیہ فشنگ مہم میں فینسی بیئر کی طرف سے استعمال کردہ بدنیتی پر مبنی دستاویز۔
بیئر آن دی لوز
CERT-UA پہلے شناخت فینسی بیئر ان متعدد APTs میں سے ایک ہے جو فروری کے آخر میں شروع ہونے والے روسی فوجیوں کے حملے کے متوازی طور پر سائبر حملوں سے یوکرین پر حملہ کر رہے ہیں۔ خیال کیا جاتا ہے کہ یہ گروپ روسی انٹیلی جنس کی ایماء پر ایسی معلومات اکٹھا کرنے کے لیے کام کر رہا ہے جو ایجنسی کے لیے مفید ہو گی۔
ماضی میں فینسی ریچھ انتخابات کو نشانہ بنانے والے حملوں میں ملوث رہا ہے۔ ریاستہائے متحدہ امریکہ میں اور یورپ، اسی طرح کھیلوں اور اینٹی ڈوپنگ ایجنسیوں کے خلاف ہیکس 2020 کے اولمپک گیمز سے متعلق۔
محققین نے سب سے پہلے اپریل میں فولینا کو جھنڈا لگایا، لیکن صرف مئی میں کیا اسے باضابطہ طور پر صفر دن، ایک کلک کے استحصال کے طور پر شناخت کیا گیا تھا۔ فولینا مائیکروسافٹ سپورٹ ڈائیگنوسٹک ٹول (MSDT) کے ساتھ منسلک ہے اور MS-msdt پروٹوکول کا استعمال کرتا ہے تاکہ وہ ورڈ یا دیگر آفس دستاویزات سے بدنیتی کوڈ کو لوڈ کر سکیں جب وہ کھولے جاتے ہیں۔
یہ بگ کئی وجوہات کی بناء پر خطرناک ہے- جن میں سے کم از کم اس کی وسیع حملے کی سطح نہیں ہے، کیونکہ یہ بنیادی طور پر ونڈوز کے تمام فی الحال تعاون یافتہ ورژنز پر مائیکروسافٹ آفس استعمال کرنے والے ہر شخص کو متاثر کرتا ہے۔ اگر کامیابی سے استفادہ کیا جاتا ہے تو، حملہ آور کسی نظام کو مؤثر طریقے سے سنبھالنے اور پروگرام انسٹال کرنے، ڈیٹا دیکھنے، تبدیل کرنے یا حذف کرنے، یا نئے اکاؤنٹس بنانے کے لیے صارف کے حقوق حاصل کر سکتے ہیں۔
مائیکروسافٹ نے حال ہی میں فولینا کو اس میں پیچ کیا۔ جون پیچ منگل رہائی لیکن یہ باقی ہے فعال استحصال کے تحت دھمکی دینے والے اداکاروں کے ذریعے، بشمول معروف APTs۔
ایٹمی حملے کا خطرہ
محققین نے پوسٹ میں کہا کہ فینسی بیئر کی فولینا مہم ایسے صارفین کو نشانہ بناتی ہے جن کے ساتھ ای میلز ہوتی ہیں جن میں "نیوکلیئر ٹیررازم ایک بہت ہی حقیقی خطرہ" نامی نقصان دہ RTF فائل ہوتی ہے۔ دستاویز کا مواد ایک ہے۔ مضمون بین الاقوامی امور کے گروپ اٹلانٹک کونسل سے جو اس امکان کا جائزہ لے رہا ہے کہ پوٹن یوکرین کی جنگ میں جوہری ہتھیار استعمال کریں گے۔
نقصان دہ فائل URL http://kitten-268[.]frge[.]io/article[.]html سے ریموٹ HTML فائل بازیافت کرنے کے لیے Document.xml.rels فائل میں سرایت شدہ ریموٹ ٹیمپلیٹ کا استعمال کرتی ہے۔ محققین نے کہا کہ ایچ ٹی ایم ایل فائل پھر ms-msdt MSProtocol URI اسکیم کا استعمال کرتے ہوئے ایک انکوڈ شدہ پاور شیل اسکرپٹ کو لوڈ اور اس پر عمل کرنے کے لیے window.location.href پر جاوا اسکرپٹ کال کا استعمال کرتی ہے۔
پاور شیل حتمی پے لوڈ لوڈ کرتا ہے – نیٹ چوری کرنے والے کی ایک قسم جس کی شناخت پہلے گوگل نے یوکرین میں دیگر فینسی بیئر مہموں میں کی تھی۔ محققین کا کہنا ہے کہ اگرچہ چوری کرنے والے کے سب سے پرانے ورژن نے صارفین کو اپنے کام سے ہٹانے کے لیے ایک جعلی ایرر میسج پاپ اپ کا استعمال کیا، لیکن نیوکلیئر تھیم والی مہم میں استعمال ہونے والا ویرینٹ ایسا نہیں کرتا ہے۔
دوسری فعالیت میں، حال ہی میں دیکھا گیا ویریئنٹ پہلے والے سے "تقریبا ایک جیسا" ہے، "صرف چند معمولی ریفیکٹرز اور کچھ اضافی نیند کمانڈز کے ساتھ،" انہوں نے مزید کہا۔
پچھلے ورژن کی طرح، چوری کرنے والے کا بنیادی مقصد گوگل کروم، مائیکروسافٹ ایج اور فائر فاکس سمیت کئی مشہور براؤزرز سے ویب سائٹ کی اسناد جیسے صارف نام، پاس ورڈ اور یو آر ایل سمیت ڈیٹا چوری کرنا ہے۔ محققین نے کہا کہ میلویئر پھر IMAP ای میل پروٹوکول کا استعمال ڈیٹا کو اپنے کمانڈ اینڈ کنٹرول سرور پر اسی طرح سے نکالتا ہے جس طرح پہلے کی شکل میں کیا گیا تھا لیکن اس بار ایک مختلف ڈومین پر، محققین نے کہا۔
انہوں نے لکھا، "اس اسٹیلر کا پرانا ورژن میل[.]sartoc.com (144.208.77.68) سے ڈیٹا کو نکالنے کے لیے منسلک ہے۔" "نیا ویرینٹ ایک ہی طریقہ استعمال کرتا ہے لیکن ایک مختلف ڈومین، www.specialityllc[.]com۔ دلچسپ بات یہ ہے کہ دونوں دبئی میں واقع ہیں۔
محققین نے مزید کہا کہ ویب سائٹس کے مالکان کا APT28 سے کوئی لینا دینا نہیں ہے، گروپ صرف ترک شدہ یا کمزور سائٹس کا فائدہ اٹھا رہا ہے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://threatpost.com/fancy-bear-nuke-threat-lure/180056/
- : ہے
- : ہے
- : نہیں
- 20
- 2020
- 50
- 700
- 77
- a
- کے مطابق
- اکاؤنٹس
- فعال
- اداکار
- شامل کیا
- ایڈیشنل
- فائدہ
- معاملات
- کے خلاف
- ایجنسی
- تمام
- پہلے ہی
- بھی
- an
- تجزیہ
- اور
- کسی
- اپریل
- اے پی ٹی
- کیا
- AS
- منسلک
- At
- حملہ
- حملے
- کرنے کی کوشش
- بنیادی طور پر
- BE
- صبر
- رہا
- شروع ہوا
- پیچھے
- خیال کیا
- دونوں
- براؤزر
- بگ کی اطلاع دیں
- لیکن
- by
- فون
- کہا جاتا ہے
- مہم
- مہمات
- کر سکتے ہیں
- لے جانے والا۔
- تبدیل
- کروم
- کوڈ
- COM
- کمپیوٹر
- تنازعہ
- منسلک
- مواد
- کونسل
- تخلیق
- اسناد
- اس وقت
- خطرناک
- اعداد و شمار
- نجات
- تشخیصی
- DID
- مختلف
- do
- دستاویز
- دستاویزات
- کرتا
- کر
- ڈومین
- ڈاؤن لوڈز
- دبئی
- اس سے قبل
- ایج
- مؤثر طریقے
- انتخابات
- ای میل
- ای میل
- ایمبیڈڈ
- ایمرجنسی
- خرابی
- بڑھ
- عملدرآمد
- پھانسی
- دھماکہ
- استحصال کیا۔
- دریافت کرتا ہے
- جعلی
- خدشات
- فروری
- چند
- فائل
- فائنل
- فائر فاکس
- پہلا
- پہلی بار
- جھنڈا لگا ہوا
- غلطی
- کے لئے
- سے
- فعالیت
- حاصل کرنا
- کھیل
- جمع
- مقصد
- گوگل
- گوگل کروم
- گوگل
- گروپ
- ہے
- HTML
- HTTP
- HTTPS
- کی نشاندہی
- if
- in
- دیگر میں
- سمیت
- آزادانہ طور پر
- معلومات
- infosec
- انسٹال
- انٹیلی جنس
- بین الاقوامی سطح پر
- میں
- حملے
- IT
- میں
- جاوا سکرپٹ
- جون
- صرف
- جانا جاتا ہے
- مرحوم
- کم سے کم
- امکان
- منسلک
- لوڈ
- بوجھ
- واقع ہے
- محل وقوع
- مین
- میلویئر
- Malwarebytes کی
- زیادہ سے زیادہ چوڑائی
- پیغام
- طریقہ
- مائیکروسافٹ
- مائیکروسافٹ ایج
- مائیکروسافٹ آفس
- معمولی
- سب سے زیادہ
- خالص
- نئی
- نیوز لیٹر
- کچھ بھی نہیں
- جوہری
- جوہری ہتھیار
- تعداد
- متعدد
- مشاہدہ
- of
- دفتر
- سرکاری طور پر
- پرانا
- سب سے پرانی
- اولمپک
- اولمپک کھیلوں
- on
- ایک
- کھول دیا
- کام
- آپریشنز
- or
- دیگر
- پر
- مجموعی جائزہ
- مالکان
- جوڑی
- متوازی
- پاس ورڈ
- گزشتہ
- پیچ
- فشنگ
- فشنگ مہم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پاپ اپ
- مقبول
- امکان
- پوسٹ
- پاورشیل
- پچھلا
- پہلے
- شکار
- پروگرام
- پروٹوکول
- شائع
- دھکیلنا
- پوٹن
- اصلی
- حال ہی میں
- حال ہی میں
- متعلقہ
- جاری
- باقی
- ریموٹ
- رپورٹ
- محققین
- جواب
- حقوق
- روسی
- کہا
- اسی
- سکیم
- اسکرپٹ
- دیکھا
- سرور
- کئی
- صرف
- سائٹس
- سو
- کچھ
- سپیکٹر
- کامیابی کے ساتھ
- اس طرح
- حمایت
- تائید
- سطح
- کے نظام
- TAG
- لے لو
- لینے
- ہدف
- ھدف بندی
- اہداف
- ٹیم
- سانچے
- دہشت گردی
- کہ
- ۔
- تو
- وہ
- اس
- اس ہفتے
- خطرہ
- دھمکی دینے والے اداکار
- خطرہ انٹیلی جنس
- بندھے ہوئے
- وقت
- کرنے کے لئے
- کے آلے
- یوکرائن
- یوکرین جنگ
- متحدہ
- URI
- URL
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- رکن کا
- صارفین
- استعمال
- کا استعمال کرتے ہوئے
- مختلف
- بہت
- لنک
- قابل اطلاق
- جنگ
- یوکرین میں جنگ
- تھا
- راستہ..
- ہتھیار
- ویب سائٹ
- ویب سائٹ
- ہفتے
- اچھا ہے
- کیا
- جب
- جس
- جبکہ
- وسیع
- گے
- ونڈو
- کھڑکیاں
- ساتھ
- لفظ
- گا
- لکھا ہے
- XML
- زیفیرنیٹ