APT đang ghép một lỗ hổng đã biết của Microsoft với một tài liệu độc hại để tải phần mềm độc hại lấy thông tin đăng nhập từ các trình duyệt Chrome, Firefox và Edge.
Nhóm mối đe dọa dai dẳng tiên tiến Fancy Bear đứng sau một chiến dịch lừa đảo sử dụng bóng ma chiến tranh hạt nhân để khai thác một lỗ hổng đã biết của Microsoft bằng một cú nhấp chuột. Mục đích là cung cấp phần mềm độc hại có thể lấy cắp thông tin đăng nhập từ các trình duyệt Chrome, Firefox và Edge.
Theo các nhà nghiên cứu của Malwarebytes Threat Intelligence, các cuộc tấn công của APT có liên hệ với Nga gắn liền với cuộc chiến tranh giữa Nga và Ukraine. Họ báo cáo rằng Fancy Bear đang đẩy các tài liệu độc hại được vũ khí hóa bằng cách khai thác cho Follina (CVE-2022-30190), một lỗ hổng bằng một cú nhấp chuột đã biết của Microsoft, theo một blog đăng bài xuất bản trong tuần này.
“Đây là lần đầu tiên chúng tôi quan sát thấy APT28 sử dụng Follina trong các hoạt động của nó,” các nhà nghiên cứu viết trong bài đăng. Fancy Bear còn được gọi là APT28, Strontium và Sofacy.
Vào ngày 20 tháng XNUMX, các nhà nghiên cứu của Malwarebytes lần đầu tiên quan sát tài liệu được vũ khí hóa, tài liệu này tải xuống và thực thi trình đánh cắp .Net trước tiên được báo cáo bởi Google. Nhóm phân tích mối đe dọa của Google (TAG) cho biết Fancy Bear đã sử dụng trình đánh cắp này để nhắm mục tiêu người dùng ở Ukraine.
Nhóm ứng cứu khẩn cấp máy tính của Ukraine (CERT-UA) cũng được phát hiện độc lập tài liệu độc hại được Fancy Bear sử dụng trong chiến dịch lừa đảo gần đây, theo Malwarebytes.
Chịu thua
CERT-UA đã xác định trước đó Fancy Bear là một trong số rất nhiều APT gây khó khăn cho Ukraine bằng các cuộc tấn công mạng song song với cuộc xâm lược của quân đội Nga bắt đầu vào cuối tháng Hai. Nhóm này được cho là đang hoạt động theo lệnh của tình báo Nga để thu thập thông tin hữu ích cho cơ quan.
Trong quá khứ Fancy Bear đã được liên kết trong các cuộc tấn công nhắm vào các cuộc bầu cử ở Hoa Kỳ và Châu Âu, Cũng như hack chống lại các cơ quan thể thao và chống doping liên quan đến Thế vận hội Olympic 2020.
Các nhà nghiên cứu lần đầu tiên gắn cờ Follina vào tháng XNUMX, nhưng chỉ trong tháng XNUMX nó có được chính thức xác định là khai thác bằng một cú nhấp chuột không. Follina được liên kết với Công cụ Chẩn đoán Hỗ trợ của Microsoft (MSDT) và sử dụng giao thức ms-msdt để tải mã độc từ Word hoặc các tài liệu Office khác khi chúng được mở.
Lỗi nguy hiểm vì một số lý do - không ít trong đó là bề mặt tấn công rộng của nó, vì về cơ bản, nó ảnh hưởng đến bất kỳ ai sử dụng Microsoft Office trên tất cả các phiên bản Windows hiện được hỗ trợ. Nếu khai thác thành công, những kẻ tấn công có thể giành được quyền của người dùng để tiếp quản một cách hiệu quả hệ thống và cài đặt chương trình, xem, thay đổi hoặc xóa dữ liệu hoặc tạo tài khoản mới.
Microsoft gần đây đã vá Follina trong Bản vá tháng sáu phát hành nhưng nó vẫn còn đang khai thác tích cực bởi các tác nhân đe dọa, bao gồm cả các APT đã biết.
Đe doạ tấn công hạt nhân
Các nhà nghiên cứu cho biết trong bài đăng, chiến dịch Follina của Fancy Bear nhắm mục tiêu đến người dùng bằng email chứa tệp RTF độc hại có tên “Khủng bố hạt nhân A rất thực tế” nhằm làm mồi cho nạn nhân lo ngại rằng cuộc xâm lược Ukraine sẽ leo thang thành xung đột hạt nhân. Nội dung của tài liệu là một bài viết từ nhóm các vấn đề quốc tế Hội đồng Đại Tây Dương thăm dò khả năng Putin sẽ sử dụng vũ khí hạt nhân trong cuộc chiến ở Ukraine.
Tệp độc hại sử dụng mẫu từ xa được nhúng trong tệp Document.xml.rels để truy xuất tệp HTML từ xa từ URL http: // kitten-268 [.] Frge [.] Io / article [.] Html. Sau đó, tệp HTML sử dụng lệnh gọi JavaScript tới window.location.href để tải và thực thi một tập lệnh PowerShell được mã hóa bằng cách sử dụng lược đồ ms-msdt MSProtocol URI, các nhà nghiên cứu cho biết.
PowerShell tải trọng tải cuối cùng – một biến thể của trình đánh cắp .Net đã được Google xác định trước đây trong các chiến dịch Fancy Bear khác ở Ukraine. Các nhà nghiên cứu cho biết, trong khi biến thể lâu đời nhất của kẻ đánh cắp sử dụng cửa sổ bật lên thông báo lỗi giả để đánh lạc hướng người dùng khỏi những gì nó đang làm, biến thể được sử dụng trong chiến dịch có chủ đề hạt nhân thì không, các nhà nghiên cứu cho biết.
Trong các chức năng khác, biến thể được nhìn thấy gần đây “gần như giống hệt” với biến thể trước đó, “chỉ với một số cơ cấu lại nhỏ và một số lệnh ngủ bổ sung,” họ nói thêm.
Giống như với biến thể trước, con đường chính của kẻ trộm là ăn cắp dữ liệu — bao gồm thông tin xác thực trang web như tên người dùng, mật khẩu và URL – từ một số trình duyệt phổ biến, bao gồm Google Chrome, Microsoft Edge và Firefox. Các nhà nghiên cứu cho biết, phần mềm độc hại sau đó sử dụng giao thức email IMAP để lấy dữ liệu đến máy chủ điều khiển và chỉ huy của nó theo cách tương tự như biến thể trước đó nhưng lần này đến một miền khác, các nhà nghiên cứu cho biết.
“Biến thể cũ của trình đánh cắp này được kết nối với mail [.] Sartoc.com (144.208.77.68) để lấy dữ liệu,” họ viết. “Biến thể mới sử dụng cùng một phương pháp nhưng một miền khác, www.specialityllc [.] Com. Điều thú vị là cả hai đều nằm ở Dubai ”.
Các nhà nghiên cứu cho biết thêm, chủ sở hữu của các trang web hầu như không liên quan gì đến APT28, nhóm này chỉ đơn giản là lợi dụng các trang web bị bỏ rơi hoặc dễ bị tấn công.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://threatpost.com/fancy-bear-nuke-threat-lure/180056/
- : có
- :là
- :không phải
- 20
- 2020
- 50
- 700
- 77
- a
- Theo
- Trợ Lý Giám Đốc
- hoạt động
- diễn viên
- thêm
- thêm vào
- Lợi thế
- Giao
- chống lại
- cơ quan
- Tất cả
- Đã
- Ngoài ra
- an
- phân tích
- và
- bất kỳ ai
- Tháng Tư
- APT
- LÀ
- AS
- liên kết
- At
- tấn công
- Các cuộc tấn công
- nỗ lực
- Về cơ bản
- BE
- Ghi
- được
- bắt đầu
- sau
- tin
- cả hai
- trình duyệt
- Bug
- nhưng
- by
- cuộc gọi
- gọi là
- Chiến dịch
- Chiến dịch
- CAN
- thực
- thay đổi
- cơ rôm
- mã
- COM
- máy tính
- xung đột
- kết nối
- nội dung
- hội đồng
- tạo
- Credentials
- Hiện nay
- Nguy hiểm
- dữ liệu
- cung cấp
- chẩn đoán
- ĐÃ LÀM
- khác nhau
- do
- tài liệu
- tài liệu
- làm
- làm
- miền
- Tải xuống
- Dubai
- Sớm hơn
- Cạnh
- hiệu quả
- Bầu cử
- nhúng
- trường hợp khẩn cấp
- lôi
- leo thang
- thi hành
- Thi công
- Khai thác
- khai thác
- khám phá
- giả mạo
- nỗi sợ hãi
- Tháng Hai
- vài
- Tập tin
- cuối cùng
- Firefox
- Tên
- lần đầu tiên
- được gắn cờ
- lỗ hổng
- Trong
- từ
- chức năng
- Thu được
- Trò chơi
- thu thập
- mục tiêu
- Google Chrome
- Nhóm
- Có
- HTML
- http
- HTTPS
- xác định
- if
- in
- Mặt khác
- Bao gồm
- độc lập
- Thông tin
- thông tin
- cài đặt, dựng lên
- Sự thông minh
- Quốc Tế
- trong
- cuộc xâm lăng
- IT
- ITS
- JavaScript
- tháng sáu
- chỉ
- nổi tiếng
- Trễ, muộn
- ít nhất
- Có khả năng
- liên kết
- tải
- tải
- nằm
- địa điểm thư viện nào
- Chủ yếu
- phần mềm độc hại
- Malwarebytes
- max-width
- tin nhắn
- phương pháp
- microsoft
- Microsoft cạnh
- Microsoft Office
- nhỏ
- hầu hết
- net
- Mới
- Đăng ký bản tin
- không
- hạt nhân
- Vũ khí hạt nhân
- con số
- nhiều
- quan sát
- of
- Office
- Chính thức
- Xưa
- lâu đời nhất
- thế vận hội
- Thế vận hội Olympic
- on
- ONE
- mở
- hoạt động
- Hoạt động
- or
- Nền tảng khác
- kết thúc
- tổng quan
- chủ sở hữu
- cặp đôi
- Song song
- Mật khẩu
- qua
- Vá
- Lừa đảo
- chiến dịch lừa đảo
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- pop-up
- Phổ biến
- khả năng
- Bài đăng
- PowerShell
- trước
- trước đây
- làm mồi
- Khóa Học
- giao thức
- công bố
- Đẩy
- Putin
- thực
- gần đây
- gần đây
- liên quan
- phát hành
- vẫn còn
- xa
- báo cáo
- nhà nghiên cứu
- phản ứng
- quyền
- người Nga
- Nói
- tương tự
- Đề án
- kịch bản
- đã xem
- máy chủ
- một số
- đơn giản
- Các trang web
- ngủ
- một số
- bóng ma
- Thành công
- như vậy
- hỗ trợ
- Hỗ trợ
- Bề mặt
- hệ thống
- TAG
- Hãy
- dùng
- Mục tiêu
- nhắm mục tiêu
- mục tiêu
- nhóm
- mẫu
- Khủng bố
- việc này
- Sản phẩm
- sau đó
- họ
- điều này
- tuần này
- mối đe dọa
- diễn viên đe dọa
- mối đe dọa tình báo
- Bị ràng buộc
- thời gian
- đến
- công cụ
- Ukraina
- chiến tranh ukraine
- Kỳ
- URI
- URL
- sử dụng
- đã sử dụng
- người sử dang
- Người sử dụng
- sử dụng
- sử dụng
- biến thể
- rất
- Xem
- Dễ bị tổn thương
- chiến tranh
- Chiến tranh ở Ukraine
- là
- Đường..
- Vũ khí
- Website
- trang web
- tuần
- TỐT
- Điều gì
- khi nào
- cái nào
- trong khi
- rộng
- sẽ
- cửa sổ
- cửa sổ
- với
- Từ
- sẽ
- đã viết
- XML
- zephyrnet