Fancy Bear sử dụng Nuke Threat Lure để khai thác lỗi bằng 1 cú nhấp chuột

Nhóm mối đe dọa dai dẳng tiên tiến Fancy Bear đứng sau một chiến dịch lừa đảo sử dụng bóng ma chiến tranh hạt nhân để khai thác một lỗ hổng đã biết của Microsoft bằng một cú nhấp chuột. Mục đích là cung cấp phần mềm độc hại có thể lấy cắp thông tin đăng nhập từ các trình duyệt Chrome, Firefox và Edge.

Theo các nhà nghiên cứu của Malwarebytes Threat Intelligence, các cuộc tấn công của APT có liên hệ với Nga gắn liền với cuộc chiến tranh giữa Nga và Ukraine. Họ báo cáo rằng Fancy Bear đang đẩy các tài liệu độc hại được vũ khí hóa bằng cách khai thác cho Follina (CVE-2022-30190), một lỗ hổng bằng một cú nhấp chuột đã biết của Microsoft, theo một blog đăng bài xuất bản trong tuần này.

“Đây là lần đầu tiên chúng tôi quan sát thấy APT28 sử dụng Follina trong các hoạt động của nó,” các nhà nghiên cứu viết trong bài đăng. Fancy Bear còn được gọi là APT28, Strontium và Sofacy.

Vào ngày 20 tháng XNUMX, các nhà nghiên cứu của Malwarebytes lần đầu tiên quan sát tài liệu được vũ khí hóa, tài liệu này tải xuống và thực thi trình đánh cắp .Net trước tiên được báo cáo bởi Google. Nhóm phân tích mối đe dọa của Google (TAG) cho biết Fancy Bear đã sử dụng trình đánh cắp này để nhắm mục tiêu người dùng ở Ukraine.

Nhóm ứng cứu khẩn cấp máy tính của Ukraine (CERT-UA) cũng được phát hiện độc lập tài liệu độc hại được Fancy Bear sử dụng trong chiến dịch lừa đảo gần đây, theo Malwarebytes.

Chịu thua

CERT-UA đã xác định trước đó Fancy Bear là một trong số rất nhiều APT gây khó khăn cho Ukraine bằng các cuộc tấn công mạng song song với cuộc xâm lược của quân đội Nga bắt đầu vào cuối tháng Hai. Nhóm này được cho là đang hoạt động theo lệnh của tình báo Nga để thu thập thông tin hữu ích cho cơ quan.

Trong quá khứ Fancy Bear đã được liên kết trong các cuộc tấn công nhắm vào các cuộc bầu cử ở Hoa Kỳ và Châu Âu, Cũng như hack chống lại các cơ quan thể thao và chống doping liên quan đến Thế vận hội Olympic 2020.

Các nhà nghiên cứu lần đầu tiên gắn cờ Follina vào tháng XNUMX, nhưng chỉ trong tháng XNUMX nó có được chính thức xác định là khai thác bằng một cú nhấp chuột không. Follina được liên kết với Công cụ Chẩn đoán Hỗ trợ của Microsoft (MSDT) và sử dụng giao thức ms-msdt để tải mã độc từ Word hoặc các tài liệu Office khác khi chúng được mở.

Lỗi nguy hiểm vì một số lý do - không ít trong đó là bề mặt tấn công rộng của nó, vì về cơ bản, nó ảnh hưởng đến bất kỳ ai sử dụng Microsoft Office trên tất cả các phiên bản Windows hiện được hỗ trợ. Nếu khai thác thành công, những kẻ tấn công có thể giành được quyền của người dùng để tiếp quản một cách hiệu quả hệ thống và cài đặt chương trình, xem, thay đổi hoặc xóa dữ liệu hoặc tạo tài khoản mới.

Microsoft gần đây đã vá Follina trong Bản vá tháng sáu phát hành nhưng nó vẫn còn đang khai thác tích cực bởi các tác nhân đe dọa, bao gồm cả các APT đã biết.

Đe doạ tấn công hạt nhân

Các nhà nghiên cứu cho biết trong bài đăng, chiến dịch Follina của Fancy Bear nhắm mục tiêu đến người dùng bằng email chứa tệp RTF độc hại có tên “Khủng bố hạt nhân A rất thực tế” nhằm làm mồi cho nạn nhân lo ngại rằng cuộc xâm lược Ukraine sẽ leo thang thành xung đột hạt nhân. Nội dung của tài liệu là một bài viết từ nhóm các vấn đề quốc tế Hội ​​đồng Đại Tây Dương thăm dò khả năng Putin sẽ sử dụng vũ khí hạt nhân trong cuộc chiến ở Ukraine.

Tệp độc hại sử dụng mẫu từ xa được nhúng trong tệp Document.xml.rels để truy xuất tệp HTML từ xa từ URL http: // kitten-268 [.] Frge [.] Io / article [.] Html. Sau đó, tệp HTML sử dụng lệnh gọi JavaScript tới window.location.href để tải và thực thi một tập lệnh PowerShell được mã hóa bằng cách sử dụng lược đồ ms-msdt MSProtocol URI, các nhà nghiên cứu cho biết.

PowerShell tải trọng tải cuối cùng – một biến thể của trình đánh cắp .Net đã được Google xác định trước đây trong các chiến dịch Fancy Bear khác ở Ukraine. Các nhà nghiên cứu cho biết, trong khi biến thể lâu đời nhất của kẻ đánh cắp sử dụng cửa sổ bật lên thông báo lỗi giả để đánh lạc hướng người dùng khỏi những gì nó đang làm, biến thể được sử dụng trong chiến dịch có chủ đề hạt nhân thì không, các nhà nghiên cứu cho biết.

Trong các chức năng khác, biến thể được nhìn thấy gần đây “gần như giống hệt” với biến thể trước đó, “chỉ với một số cơ cấu lại nhỏ và một số lệnh ngủ bổ sung,” họ nói thêm.

Giống như với biến thể trước, con đường chính của kẻ trộm là ăn cắp dữ liệu — bao gồm thông tin xác thực trang web như tên người dùng, mật khẩu và URL – từ một số trình duyệt phổ biến, bao gồm Google Chrome, Microsoft Edge và Firefox. Các nhà nghiên cứu cho biết, phần mềm độc hại sau đó sử dụng giao thức email IMAP để lấy dữ liệu đến máy chủ điều khiển và chỉ huy của nó theo cách tương tự như biến thể trước đó nhưng lần này đến một miền khác, các nhà nghiên cứu cho biết.

“Biến thể cũ của trình đánh cắp này được kết nối với mail [.] Sartoc.com (144.208.77.68) để lấy dữ liệu,” họ viết. “Biến thể mới sử dụng cùng một phương pháp nhưng một miền khác, www.specialityllc [.] Com. Điều thú vị là cả hai đều nằm ở Dubai ”.

Các nhà nghiên cứu cho biết thêm, chủ sở hữu của các trang web hầu như không liên quan gì đến APT28, nhóm này chỉ đơn giản là lợi dụng các trang web bị bỏ rơi hoặc dễ bị tấn công.