Die APT kombiniert einen bekannten Microsoft-Fehler mit einem bösartigen Dokument, um Malware zu laden, die Anmeldedaten von Chrome-, Firefox- und Edge-Browsern abfängt.
Die Advanced Persistent Threat Group Fancy Bear steckt hinter einer Phishing-Kampagne, die das Schreckgespenst eines Atomkriegs nutzt, um eine bekannte Microsoft-Schwachstelle mit einem Klick auszunutzen. Ziel ist es, Malware zu verbreiten, die Anmeldedaten aus den Browsern Chrome, Firefox und Edge stehlen kann.
Laut den Forschern von Malwarebytes Threat Intelligence hängen die Angriffe der mit Russland verbundenen APT mit dem Krieg zwischen Russland und der Ukraine zusammen. Sie berichten, dass Fancy Bear bösartige Dokumente verbreitet, die mit dem Exploit für Follina (CVE-2022-30190), einem bekannten Microsoft One-Click-Fehler, bewaffnet sind, wie in einem diese Woche veröffentlichten Blog-Post zu lesen ist.
„Dies ist das erste Mal, dass wir beobachten, dass APT28 Follina bei seinen Operationen einsetzt“, schreiben die Forscher in dem Posting. Fancy Bear ist auch unter den Namen APT28, Strontium und Sofacy bekannt.
Am 20. Juni entdeckten die Forscher von Malwarebytes erstmals das waffenfähige Dokument, das einen .Net-Stealer herunterlädt und ausführt, über den Google zuerst berichtet hatte. Laut der Threat Analysis Group (TAG) von Google hat Fancy Bear diesen Stealer bereits verwendet, um Nutzer in der Ukraine anzugreifen.
Laut Malwarebytes hat das Computer Emergency Response Team of Ukraine (CERT-UA) das von Fancy Bear in der jüngsten Phishing-Kampagne verwendete bösartige Dokument ebenfalls unabhängig entdeckt.
Bär auf freiem Fuß
CERT-UA hat Fancy Bear als eine der zahlreichen APTs identifiziert, die die Ukraine parallel zum Einmarsch der russischen Truppen Ende Februar mit Cyberangriffen überziehen. Es wird vermutet, dass die Gruppe auf Geheiß des russischen Geheimdienstes operiert, um Informationen zu sammeln, die für den Geheimdienst nützlich sein könnten.
In der Vergangenheit wurde Fancy Bear mit Angriffen auf Wahlen in den Vereinigten Staaten und Europa sowie mit Hacks gegen Sport- und Anti-Doping-Agenturen im Zusammenhang mit den Olympischen Spielen 2020 in Verbindung gebracht.
Forscher entdeckten Follina erstmals im April, aber erst im Mai wurde er offiziell als Zero-Day-Exploit mit nur einem Klick identifiziert. Follina ist mit dem Microsoft Support Diagnostic Tool (MSDT) verbunden und nutzt das ms-msdt-Protokoll, um beim Öffnen von Word- oder anderen Office-Dokumenten Schadcode zu laden.
Der Fehler ist aus mehreren Gründen gefährlich – nicht zuletzt wegen seiner großen Angriffsfläche, da er im Grunde jeden betrifft, der Microsoft Office auf allen derzeit unterstützten Versionen von Windows verwendet. Wenn er erfolgreich ausgenutzt wird, können Angreifer Benutzerrechte erlangen, um effektiv ein System zu übernehmen und Programme zu installieren, Daten anzuzeigen, zu ändern oder zu löschen oder neue Konten zu erstellen.
Microsoft hat Follina kürzlich mit dem Patch Tuesday im Juni gepatcht, aber die Lücke wird weiterhin aktiv von Bedrohungsakteuren, einschließlich bekannter APTs, ausgenutzt.
Bedrohung durch nukleare Angriffe
Die Follina-Kampagne von Fancy Bear zielt auf Benutzer mit E-Mails ab, die eine bösartige RTF-Datei mit dem Titel „Nuclear Terrorism A Very Real Threat“ enthalten. Der Inhalt des Dokuments ist ein Artikel der internationalen Gruppe Atlantic Council, in dem die Möglichkeit untersucht wird, dass Putin im Krieg in der Ukraine Atomwaffen einsetzen wird.
Die bösartige Datei verwendet eine in die Datei Document.xml.rels eingebettete Remote-Vorlage, um eine Remote-HTML-Datei von der URL http://kitten-268 abzurufen.[.]frge[.]io/article[.]html. Die HTML-Datei verwendet dann einen JavaScript-Aufruf an window.location.href, um ein verschlüsseltes PowerShell-Skript mit dem ms-msdt MSProtocol URI-Schema zu laden und auszuführen, so die Forscher.
Die PowerShell lädt die endgültige Nutzlast – eine Variante des .Net-Stealers, der zuvor von Google in anderen Fancy Bear-Kampagnen in der Ukraine identifiziert wurde. Während die älteste Variante des Stealers ein gefälschtes Popup-Fenster mit einer Fehlermeldung verwendete, um die Benutzer von ihrem Tun abzulenken, ist dies bei der Variante, die in der nuklearen Kampagne verwendet wird, nicht der Fall, so die Forscher.
In Bezug auf andere Funktionen ist die kürzlich entdeckte Variante „fast identisch“ mit der früheren Variante, „mit nur ein paar kleinen Überarbeitungen und einigen zusätzlichen Schlafbefehlen“, fügten sie hinzu.
Wie bei der vorherigen Variante besteht die Hauptaufgabe des Stealers darin, Daten – einschließlich Website-Anmeldeinformationen wie Benutzername, Kennwort und URL – aus verschiedenen gängigen Browsern, darunter Google Chrome, Microsoft Edge und Firefox, zu stehlen. Die Malware verwendet dann das IMAP-E-Mail-Protokoll, um die Daten auf den Command-and-Control-Server zu übertragen, wie es auch bei der früheren Variante der Fall war, aber dieses Mal an eine andere Domain, so die Forscher.
„Die alte Variante dieses Stealers verband sich mit der Mail[.]sartoc.com (144.208.77.68), um Daten zu exfiltrieren“, schreiben sie. „Die neue Variante verwendet dieselbe Methode, aber eine andere Domain, www.specialityllc[.]com. Interessanterweise befinden sich beide in Dubai.
Die Eigentümer der Websites haben höchstwahrscheinlich nichts mit APT28 zu tun, da die Gruppe lediglich verlassene oder anfällige Websites ausnutzt, fügten die Forscher hinzu.
Einige Teile dieses Artikels stammen aus:
threatpost.com
NSO bestätigt den Einsatz von Pegasus-Spyware in mindestens 5 europäischen Ländern