Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA) uyarıldı Parola çalan kötü amaçlı yazılımları dağıtmak için Windows işletim sistemindeki “Follina” kusurundan yararlanan yeni bir hedef odaklı kimlik avı saldırısı.
İzinsiz girişleri APT28 (diğer adıyla Fancy Bear veya Sofacy) olarak izlenen bir Rus ulus-devlet grubuna bağlayan ajans, saldırıların “Nükleer Terörizm Çok Gerçek Bir Threat.rtf” başlıklı bir cazibe belgesiyle başladığını söyledi. CredoMap adlı bir kötü amaçlı yazılımı indirmek ve yürütmek için açıklanmış güvenlik açığı.
Windows Destek Tanılama Aracı’nı (MSDT) etkileyen bir uzaktan kod yürütme durumuyla ilgili olan Follina (CVE-2022-30190, CVSS puanı: 7.8), Salı Yaması güncellemelerinin bir parçası olarak 14 Haziran 2022’de Microsoft tarafından ele alındı.
Malwarebytes tarafından yayınlanan bağımsız bir rapora göre, Kredi Haritası Google Tehdit Analizi Grubu’nun (TAG) geçen ay Ukrayna’daki kullanıcılara karşı dağıtıldığını açıkladığı .NET tabanlı kimlik bilgisi hırsızının bir çeşididir.
Kötü amaçlı yazılımın ana amacı, Google Chrome, Microsoft Edge ve Mozilla Firefox gibi birkaç popüler tarayıcıdan şifreler ve kayıtlı çerezler dahil olmak üzere verileri sifonlamaktır.
Malwarebytes, “Tarayıcıları yağmalamak küçük bir hırsızlık gibi görünse de, parolalar hassas bilgilere ve istihbarata erişmenin anahtarıdır.” söz konusu. “Hedef ve Rus askeri istihbaratının bir bölümü olan APT28’in katılımı), kampanyanın Ukrayna’daki çatışmanın bir parçası olduğunu veya en azından Rus devletinin dış politikası ve askeri hedefleriyle bağlantılı olduğunu gösteriyor.”
Sadece APT28 değil. CERT-UA daha fazla uyardı nın-nin benzer saldırılar Sandworm ve CrescentImp ve Cobalt Strike Beacon’ları hedeflenen ana bilgisayarlara dağıtmak için Follina tabanlı bir enfeksiyon zincirinden yararlanan UAC-0098 adlı bir aktör tarafından monte edildi.
Gelişme, ülkenin Rusya ile devam eden savaşının ortasında Ukrayna’nın siber saldırıların hedefi olmaya devam etmesi ve Armageddon bilgisayar korsanlarının da tespit etmesiyle ortaya çıktı. dağıtmak en GammaLoad.PS1_v2 kötü amaçlı yazılım Mayıs 2022’de.