APT 将已知的 Microsoft 漏洞与恶意文档配对,以加载从 Chrome、Firefox 和 Edge 浏览器获取凭据的恶意软件。
高级持续性威胁组织 Fancy Bear 支持 网络钓鱼活动 它利用核战争的幽灵来利用已知的一键式 Microsoft 漏洞。 目标是提供可以从 Chrome、Firefox 和 Edge 浏览器窃取凭据的恶意软件。
据 Malwarebytes Threat Intelligence 的研究人员称,与俄罗斯有关的 APT 的攻击与俄罗斯和乌克兰的战争有关。 他们报告说,Fancy Bear 正在推送带有该漏洞利用的恶意文档 福利纳 (CVE-2022-30190),一个已知的微软一键式漏洞,根据 博客文章 本周公布。
“这是我们第一次观察到 APT28 在其操作中使用 Follina,”研究人员在帖子中写道。 Fancy Bear 也称为 APT28、Strontium 和 Sofacy。
20 月 XNUMX 日,Malwarebytes 研究人员首次观察到武器化文件,该文件首先下载并执行 .Net 窃取程序 由谷歌报告. 谷歌的威胁分析小组 (TAG) 表示,Fancy Bear 已经使用这个窃取程序来瞄准乌克兰的用户。
乌克兰计算机应急响应小组 (CERT-UA) 也独立发现 根据 Malwarebytes 的说法,Fancy Bear 在最近的网络钓鱼活动中使用的恶意文档。
熊市
证书-UA 先前确定 Fancy Bear 作为众多 APT 中的一员,在 XNUMX 月下旬开始的俄罗斯军队入侵的同时,还通过网络攻击袭击了乌克兰。 该组织被认为是按照俄罗斯情报机构的要求开展活动,以收集对该机构有用的信息。
过去,Fancy Bear 与针对选举的攻击有关 在美国 和 欧洲以及 针对体育和反兴奋剂机构的黑客攻击 与2020年奥运会有关。
研究人员在 XNUMX 月首次标记了 Follina,但 仅在五月 它是否被官方认定为零日一键式漏洞利用。 Follina 与 Microsoft 支持诊断工具 (MSDT) 相关联,并在打开 Word 或其他 Office 文档时使用 ms-msdt 协议加载恶意代码。
由于多种原因,该漏洞很危险——其中最重要的是其广泛的攻击面,因为它基本上会影响在所有当前支持的 Windows 版本上使用 Microsoft Office 的任何人。 如果成功利用,攻击者可以获得有效接管系统并安装程序、查看、更改或删除数据或创建新帐户的用户权限。
微软最近在其 六月补丁星期二 释放,但它仍然存在 在积极利用下 威胁参与者,包括已知的 APT。
核攻击的威胁
研究人员在帖子中说,Fancy Bear 的 Follina 活动针对用户发送带有名为“核恐怖主义一个非常真实的威胁”的恶意 RTF 文件的电子邮件,试图利用受害者对乌克兰入侵将升级为核冲突的担忧。 该文件的内容是 刊文 来自国际事务组织大西洋理事会,该组织探讨了普京在乌克兰战争中使用核武器的可能性。
恶意文件使用嵌入在 Document.xml.rels 文件中的远程模板从 URL http://kitten-268[.]frge[.]io/article[.]html 检索远程 HTML 文件。 研究人员说,HTML 文件然后使用对 window.location.href 的 JavaScript 调用来加载和执行使用 ms-msdt MSProtocol URI 方案的编码 PowerShell 脚本。
PowerShell 加载最终的有效载荷——一种 .Net 窃取程序的变体,谷歌之前在乌克兰的其他 Fancy Bear 活动中发现。 研究人员表示,虽然最古老的窃取器变体使用虚假错误消息弹出窗口来分散用户的注意力,但核主题活动中使用的变体却没有。
在其他功能上,最近看到的变体与之前的变体“几乎相同”,“只有一些小的重构和一些额外的睡眠命令,”他们补充道。
与之前的变体一样,窃取程序的主要目的是从多种流行的浏览器(包括 Google Chrome、Microsoft Edge 和 Firefox)窃取数据,包括用户名、密码和 URL 等网站凭据。 研究人员表示,该恶意软件然后使用 IMAP 电子邮件协议将数据泄露到其命令和控制服务器,其方式与早期变种相同,但这次是到不同的域。
“这个窃取者的旧变种连接到 mail[.]sartoc.com (144.208.77.68) 以窃取数据,”他们写道。 “新变体使用相同的方法,但域名不同,www.specialityllc[.]com。 有趣的是,两者都位于迪拜。”
研究人员补充说,这些网站的所有者很可能与 APT28 无关,该组织只是利用废弃或易受攻击的网站。
