Il gruppo di minacce persistenti avanzate Fancy Bear è dietro una campagna di phishing che utilizza lo spettro della guerra nucleare per sfruttare una falla nota di Microsoft con un solo clic. L’obiettivo è fornire malware in grado di rubare le credenziali dai browser Chrome, Firefox ed Edge.
Uno Zero day in Microsoft Office mette in pericolo gli utenti con un file Word
Secondo i ricercatori di Malwarebytes Threat Intelligence, gli attacchi dell’APT legata alla Russia sono legati alla guerra tra Russia e Ucraina. Secondo un post pubblicato sul blog di Malwarebytes, Fancy Bear sta spingendo documenti dannosi armati con l’exploit per Follina (CVE-2022-30190), una falla nota di Microsoft con un solo clic.
“È la prima volta che osserviamo APT28 utilizzare Follina nelle sue operazioni“, scrivono i ricercatori nel post. Fancy Bear è conosciuto anche come APT28, Strontium e Sofacy.Infosec Insiders Newsletter
Fancy Bear: una garanzia per Putin nella Guerra Cibernetica
Il 20 giugno, i ricercatori di Malwarebytes hanno osservato per la prima volta il documento armato, che scarica ed esegue un .Net stealer segnalato per la prima volta da Google. Il Threat Analysis Group (TAG) di Google ha dichiarato che Fancy Bear ha già utilizzato questo stealer per colpire utenti in Ucraina.
Secondo Malwarebytes, anche il Computer Emergency Response Team of Ukraine (CERT-UA) ha scoperto in modo indipendente il documento dannoso utilizzato da Fancy Bear nella recente campagna di phishing.
Il CERT-UA aveva precedentemente identificato Fancy Bear come una delle numerose APT che stanno bombardando l’Ucraina con attacchi informatici in parallelo all’invasione delle truppe russe iniziata a fine febbraio. Si ritiene che il gruppo operi su ordine dell’intelligence russa per raccogliere informazioni utili all’agenzia.
In passato Fancy Bear è stato collegato ad attacchi mirati alle elezioni negli Stati Uniti e in Europa, nonché ad hackeraggi contro agenzie sportive e antidoping legati ai Giochi Olimpici del 2020.
I ricercatori hanno segnalato Follina per la prima volta ad aprile, ma solo a maggio è stato ufficialmente identificato come un exploit zero-day e one-click. Follina è associato al Microsoft Support Diagnostic Tool (MSDT) e utilizza il protocollo ms-msdt per caricare codice dannoso da Word o altri documenti Office quando vengono aperti.
Il bug è pericoloso per una serie di motivi, non ultimo l’ampia superficie di attacco, in quanto riguarda chiunque utilizzi Microsoft Office su tutte le versioni di Windows attualmente supportate.
Se sfruttato con successo, gli aggressori possono ottenere i diritti di utente per prendere effettivamente il controllo di un sistema e installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account.
Microsoft ha recentemente applicato una patch a Follina nel Patch Tuesday di giugno, ma il problema è tuttora sfruttato attivamente dagli attori delle minacce, compresi gli APT noti.
Minaccia di attacco nucleare
La campagna Follina di Fancy Bear prende di mira gli utenti con e-mail che contengono un file RTF dannoso intitolato “Nuclear Terrorism A Very Real Threat” (Terrorismo nucleare: una minaccia molto reale) nel tentativo di sfruttare i timori delle vittime che l’invasione dell’Ucraina possa degenerare in un conflitto nucleare, hanno affermato i ricercatori nel post. Il contenuto del documento è un articolo del gruppo di affari internazionali Atlantic Council che esplora la possibilità che Putin usi armi nucleari nella guerra in Ucraina.
Il file dannoso utilizza un modello remoto incorporato nel file Document.xml.rels per recuperare un file HTML remoto dall’URL http://kitten-268[.]frge[.]io/article[.]html. Il file HTML utilizza quindi una chiamata JavaScript a window.location.href per caricare ed eseguire uno script PowerShell codificato utilizzando lo schema URI del protocollo MSP ms-msdt.
Il PowerShell carica il payload finale, una variante dello stealer .Net precedentemente identificato da Google in altre campagne di Fancy Bear in Ucraina. Mentre la variante più vecchia dello stealer utilizzava un falso messaggio di errore a comparsa per distrarre gli utenti da ciò che stava facendo, la variante utilizzata nella campagna a tema nucleare non lo fa, secondo i ricercatori.
Per quanto riguarda le altre funzionalità, la variante recentemente avvistata è “quasi identica” a quella precedente, “con solo alcuni piccoli refactor e alcuni comandi sleep aggiuntivi“, hanno aggiunto.
Come per la variante precedente, lo scopo principale del ladro è quello di rubare i dati, comprese le credenziali dei siti web come nome utente, password e URL, da diversi browser popolari, tra cui Google Chrome, Microsoft Edge e Firefox. Il malware utilizza poi il protocollo di posta elettronica IMAP per esfiltrare i dati verso il suo server di comando e controllo nello stesso modo in cui lo faceva la variante precedente, ma questa volta verso un dominio diverso, hanno detto i ricercatori.
“La vecchia variante di questo ladro si collegava a mail[.]sartoc.com (144.208.77.68) per esfiltrare i dati“, hanno scritto. “La nuova variante utilizza lo stesso metodo ma un dominio diverso, www.specialityllc[.]com. È interessante notare che entrambi sono situati a Dubai“.
I proprietari dei siti web molto probabilmente non hanno nulla a che fare con APT28, con il gruppo che semplicemente approfitta di siti abbandonati o vulnerabili, hanno aggiunto i ricercatori.
