Rusya’nın kötü şöhretli gelişmiş kalıcı tehdit grubu APT28, Windows’taki Microsoft Destek Tanılama Aracı’ndaki (MSDT) “Follina” güvenlik açığından yararlanmaya çalışan, sayıları giderek artan saldırganlar arasında en sonuncusu.
Malwarebytes’ten araştırmacılar bu hafta tehdit aktörünün – nam-ı diğer Fancy Bear ve Sofacy – şimdi yamalı kusur için bir istismar içeren kötü niyetli bir belge gönderdiğini gözlemlediler (CVE-2022-30190) Ukrayna’daki kullanıcılara kimlik avı e-postaları yoluyla. Belgenin başlığı “Nükleer Terörizm Çok Gerçek Bir Tehdit.rtf” ve Ukrayna’daki savaşın nükleer bir soykırıma dönüşmesiyle ilgili korkuları avlamak için tasarlanmış gibi görünüyordu.
Malwarebytes, belgenin içeriğini Rusya Devlet Başkanı Vladimir Putin’in Ukrayna’da nükleer silah kullanma potansiyeline ilişkin Atlantik Konseyi’nden 10 Mayıs tarihli bir makale olarak tanımladı.
Belgeyi açan kullanıcılar, bu ayın başlarında sıfır gün olarak manşetlere çıkan Follina istismarı aracılığıyla sistemlerine önceden bilinen bir .Net kimlik bilgisi hırsızının yeni bir sürümünü yüklediler. Kötü amaçlı yazılım şu şekilde tasarlanmıştır: kullanıcı adlarını, şifreleri ve URL’leri çalmak Chrome ve Microsoft Edge tarayıcılarından. Malwarebytes araştırmacılarına göre, Chrome’da depolanan tüm çerezleri de alabilir.
Ukrayna’nın Bilgisayar Acil Müdahale Ekibi (CERT-UA), aynı tehdide karşı ayrı ayrı uyardı. Bir danışma belgesinde, Malwarebytes’in denediğini bildirdiği aynı kötü amaçlı belgeyi kullanarak APT28’i tespit ettiğini söyledi. CredoMap kimlik bilgilerini çalan kötü amaçlı yazılımı dağıtın Ukrayna’daki kullanıcılara.
CERT-UA, mevcut telemetrinin düşmanın belgeyi en az 10 Haziran’dan beri kullandığını gösterdiğini söylüyor.
APT28’in (Rus askeri istihbaratının bir bölümü) hedef ve katılımı, kampanyanın Ukrayna’daki çatışmanın bir parçası olduğunu veya en azından Rus devletinin dış politikası ve askeri hedefleriyle bağlantılı olduğunu gösteriyor.” Malwarebytes’i Salı günü yeni etkinlikle ilgili bir raporda belirtiyor.
Follina Besleme Çılgınlığı
MSDT’deki Follina hatası, Windows’un tüm güncel sürümlerinde bulunur ve kötü amaçlı Microsoft Office belgeleri aracılığıyla kullanılabilir. Bunu tetiklemek için, bir saldırganın tek yapması gereken, URL protokolünü kullanarak Word gibi bir Office uygulamasından MSDT’yi aramaktır. Saldırganlar, güvenlik açığı bulunan sistemlerin uzaktan kontrolünü ele geçirmek ve bunlar üzerinde kötü amaçlı kod yürütmek, program yüklemek, verileri değiştirmek ve yeni hesaplar oluşturmak dahil olmak üzere çeşitli kötü niyetli eylemler gerçekleştirmek için bu kusurdan yararlanabilir.
Microsoft, yaygın sıfırıncı gün açıklarından yararlanma etkinliğinin ortasında Mayıs ayı sonlarında kusuru açıkladı. Şirket nihayet Haziran ayı için Salı Yaması aylık güvenlik güncellemeleri setindeki güvenlik açığı için bir düzeltme yayınladı.
Malwarebytes, Ukrayna kampanyasını APT28’in Follina’yı istismar ettiğini ilk kez gözlemlediğini anlatıyor. Ancak devlet destekli diğer aktörler de dahil olmak üzere çok sayıda başka grup, son haftalarda güvenlik açığından aktif olarak yararlanıyor.
Saldırıların çoğu Ukraynalı varlıkları hedef aldı. Örneğin, bu ayın başlarında, CERT-UA bir tehdit aktörü (muhtemelen Rusya’nın Sandworm APT grubu) hakkında uyardı.büyük siber saldırıUkrayna’daki medya kuruluşlarını hedef alıyor.
Ve daha bu hafta, CERT-UA, UAC-0098 olarak takip ettiği bir tehdit grubu hakkında uyardı. kritik altyapıyı hedefleme
Follina istismarını taşıyan vergi temalı bir belgeye sahip Ukrayna’daki tesisler. CERT-UA’ya göre, bu kampanyadaki saldırganlar, güvenliği ihlal edilmiş sistemlere Cobalt Strike Beacon’ın uzlaşma sonrası saldırı aracını bırakmak için Follina’yı kullanıyor.
Follina ile ilgili faaliyetlerle ilgili diğer raporlar da ortaya çıktı ve bu, kusurun saldırganların ilgisini çektiğini ve hızlı bir şekilde ele alınması gerektiğini gösteriyor. Bu ayın başlarında Proofpoint, muhtemelen belirtilen destekli bir kimlik avı kampanyasını engelledi bir avuç müşterisini hedef alan bir Follina istismarını içeriyordu. Kimlik avı e-postası, maaş artışıyla ilgili bir belge olarak maskelenmişti; bu, açılırsa sisteme bir PowerShell betiğinin indirilmesiyle sonuçlanacaktı.
Symantec de Follina’yı dağıtmak için kullanan çeşitli tehdit aktörlerini gözlemlediğini bildirdi. farklı kötü amaçlı yüklerAsyncRAT uzaktan erişim Truva Atı ve çerezleri çalmak ve Chrome, Edge ve Firefox gibi tarayıcılardan oturum açma verilerini kaydetmek için başka bir adsız kötü amaçlı yazılım dahil.