Группа продвинутых постоянных угроз Fancy Bear стоит за фишинговая кампания который использует призрак ядерной войны, чтобы использовать известную уязвимость Microsoft в один клик. Цель состоит в том, чтобы доставить вредоносное ПО, которое может украсть учетные данные из браузеров Chrome, Firefox и Edge.

По мнению исследователей Malwarebytes Threat Intelligence, атаки APT, связанные с Россией, связаны с войной между Россией и Украиной. Они сообщают, что Fancy Bear распространяет вредоносные документы с использованием эксплойта для Follina (CVE-2022-30190), известная уязвимость Microsoft, связанная с одним щелчком мыши. блоге опубликованной на этой неделе.

«Мы впервые наблюдаем, как APT28 использует Follina в своих операциях», — написали исследователи в своем посте. Fancy Bear также известен как APT28, Strontium и Sofacy.

20 июня исследователи Malwarebytes впервые обнаружили вооруженный документ, который сначала загружает и запускает кражу .Net. сообщает Google. Группа анализа угроз Google (TAG) заявила, что Fancy Bear уже использовала этот похититель для атак на пользователей в Украине.

Группа реагирования на компьютерные инциденты Украины (CERT-UA) также независимо обнаружил По данным Malwarebytes, вредоносный документ, использованный Fancy Bear в недавней фишинговой кампании.

Медведь на свободе

CERT-UA ранее идентифицированный Fancy Bear как один из многочисленных АПТ, атакующих Украину кибератаками параллельно с начавшимся в конце февраля вторжением российских войск. Считается, что группа действует по указанию российской разведки для сбора информации, которая будет полезна агентству.

В прошлом Fancy Bear был связан с атаками на выборы. В Соединенных Штатах и Европе, так же как взломы спортивных и антидопинговых агентств связанных с Олимпийскими играми 2020 года.

Исследователи впервые отметили Фоллину в апреле, но только в мае был ли он официально идентифицирован как эксплойт нулевого дня с одним щелчком мыши. Follina связана с Microsoft Support Diagnostic Tool (MSDT) и использует протокол ms-msdt для загрузки вредоносного кода из Word или других документов Office при их открытии.

Ошибка опасна по ряду причин, не последней из которых является ее широкая поверхность атаки, поскольку она в основном затрагивает всех, кто использует Microsoft Office во всех поддерживаемых в настоящее время версиях Windows. В случае успешного использования злоумышленники могут получить права пользователя для эффективного захвата системы и установки программ, просмотра, изменения или удаления данных или создания новых учетных записей.

Microsoft недавно исправила Follina в своем Июньский патч вторник выпустить, но он остается под активным эксплойтом злоумышленниками, в том числе известными APT.

Угроза ядерной атаки

Кампания Fancy Bear Follina нацелена на пользователей, отправивших электронные письма с вредоносным RTF-файлом под названием «Ядерный терроризм — реальная угроза», в попытке воспользоваться опасениями жертв, что вторжение в Украину перерастет в ядерный конфликт, говорится в сообщении исследователей. Содержание документа представляет собой гайд от группы по международным делам Atlantic Council, которая изучает возможность использования Путиным ядерного оружия в войне на Украине.

Вредоносный файл использует удаленный шаблон, встроенный в файл Document.xml.rels, для получения удаленного HTML-файла по URL-адресу http://kitten-268[.]frge[.]io/article[.]html. Затем файл HTML использует вызов JavaScript для window.location.href для загрузки и выполнения закодированного сценария PowerShell с использованием схемы URI ms-msdt MSProtocol, говорят исследователи.

PowerShell загружает последнюю полезную нагрузку — вариант кражи .Net, который ранее был идентифицирован Google в других кампаниях Fancy Bear в Украине. По словам исследователей, в то время как самый старый вариант стилера использовал всплывающее окно с поддельным сообщением об ошибке, чтобы отвлечь пользователей от того, что он делал, вариант, использованный в кампании на ядерную тематику, этого не делает.

В других функциональных возможностях недавно замеченный вариант «почти идентичен» предыдущему, «всего с несколькими незначительными рефакторингами и некоторыми дополнительными командами сна», добавили они.

Как и в предыдущем варианте, основной целью стилера является кража данных, включая учетные данные веб-сайта, такие как имя пользователя, пароль и URL-адрес, из нескольких популярных браузеров, включая Google Chrome, Microsoft Edge и Firefox. Затем вредоносное ПО использует протокол электронной почты IMAP для эксфильтрации данных на свой командно-контрольный сервер так же, как и предыдущий вариант, но на этот раз в другой домен, говорят исследователи.

«Старый вариант этого стилера подключался к почте [.] sartoc.com (144.208.77.68) для эксфильтрации данных», — написали они. «В новом варианте используется тот же метод, но другой домен — www.specialityllc[.]com. Интересно, что оба расположены в Дубае».

Исследователи добавили, что владельцы веб-сайтов, скорее всего, не имеют ничего общего с APT28, поскольку группа просто использует заброшенные или уязвимые сайты.