Σύμφωνα με το Computer Emergency Response Team (CERT) της Ουκρανίας, Ρώσοι hackers εκμεταλλεύονται την ευπάθεια Follina στα πλαίσια phishing επιθέσεων, για να εγκαταστήσουν το CredoMap malware και Cobalt Strike beacons.
Πιστεύεται ότι πίσω από τις επιθέσεις που διανέμουν το CredoMap malware, βρίσκεται η ρωσική hacking ομάδα APT28 η οποία λέγεται ότι στέλνει phishing μηνύματα που περιέχουν ένα κακόβουλο έγγραφο με το όνομα “Nuclear Terrorism A Very Real Threat.rtf.“. Προφανώς, οι Ρώσοι hackers έχουν επιλέξει αυτό το θέμα για τα phishing email για να αυξήσουν τις πιθανότητες ανοίγματος του κακόβουλου εγγράφου, εκμεταλλευόμενοι τον φόβο που υπάρχει στην Ουκρανία για μια πιθανή πυρηνική επίθεση.
Δείτε επίσης: Κυβερνοεπίθεση διακόπτει τις υπηρεσίες της εταιρείας δεμάτων Yodel
Αντίστοιχες επιθέσεις έχουν γίνει και στο παρελθόν. Τον Μάιο του 2022, το CERT-UA εντόπισε τη διάδοση κακόβουλων εγγράφων που προειδοποιούσαν για επίθεση με χημικά.
Το κακόβουλο έγγραφο στα phishing emails που στέλνουν οι Ρώσοι hackers, είναι ένα έγγραφο RTF που προσπαθεί να εκμεταλλευτεί την ευπάθεια CVE-2022-30190, γνωστή και ως “Follina“, για λήψη και εκκίνηση του CredoMap malware (docx.exe) στη συσκευή ενός στόχου.
Πρόκειται για μια ευπάθεια στο Microsoft Diagnostic Tool, που χρησιμοποιείται από κυβερνοεγκληματίες τουλάχιστον από τον Απρίλιο του 2022, ενεργοποιώντας κακόβουλες λήψεις με το απλό άνοιγμα ενός εγγράφου ή στην περίπτωση των RTF, απλώς προβάλλοντάς το στο παράθυρο προεπισκόπησης των Windows.
Το CredoMap είναι ένα άγνωστο malware που εντοπίζεται από πολλές μηχανές AV στο Virus Total, με πολλούς προμηθευτές να το ταξινομούν ως Trojan που κλέβει κωδικούς πρόσβασης.
Σε μια σχετική αναφορά που δημοσιεύτηκε από το Malwarebytes, διευκρινίζεται ότι το κακόβουλο payload είναι ένα info-stealer που χρησιμοποίησε η APT28 εναντίον ουκρανικών στόχων τον Μάιο. Το κακόβουλο λογισμικό στοχεύει στην κλοπή πληροφοριών που είναι αποθηκευμένες στα προγράμματα περιήγησης Chrome, Edge και Firefox.
Δείτε επίσης: Adobe Acrobat: Εμποδίζει εργαλεία antivirus να παρακολουθούν αρχεία PDF;
Μετά την κλοπή, το κακόβουλο λογισμικό στέλνει τα κλεμμένα δεδομένα στους εγκληματίες.
Σύμφωνα με το MalwareHunterteam, που ανακάλυψε αυτήν την καμπάνια, το κακόβουλο λογισμικό χρησιμοποιεί hard-coded IMAP credentials, επιτρέποντας ενδεχομένως σε οποιονδήποτε ερευνητή να έχει πρόσβαση στα κλεμμένα δεδομένα.
Το CERT στην Ουκρανία προειδοποίησε την περασμένη εβδομάδα ότι Ρώσοι hackers χρησιμοποιούν την ευπάθεια Follina εναντίον στόχων στη χώρα, αλλά αυτή τη φορά έγινε σύνδεση με τη ρωσική hacking ομάδα APT28. Η APT28 (γνωστή και ως STRONTIUM, Fancy Bear και Sofacy) επικεντρώνεται στην κατασκοπεία στον κυβερνοχώρο και πιστεύεται ότι έχει δεσμούς με τη ρωσική κυβέρνηση. Η ομάδα δραστηριοποιείται από το 2007, στοχεύοντας κυβερνήσεις, στρατιωτικούς και οργανισμούς ασφαλείας.
Cobalt Strike
Παράλληλα με την παραπάνω δραστηριότητα, το CERT-UA εντόπισε και μια διαφορετική καμπάνια από έναν παράγοντα απειλής που παρακολουθείται ως UAC-0098. Σύμφωνα με τους ειδικούς, αυτοί οι επιτιθέμενοι χρησιμοποιούν επίσης το CVE-2022-30190 για να μολύνουν τον στόχο.
Σε αυτήν την περίπτωση, το CERT-UA λέει ότι ο παράγοντας απειλής χρησιμοποιεί ένα αρχείο DOCX με το όνομα “Imposition of penalties.docx” και το payload είναι ένα Cobalt Strike beacon (ked.dll).
Τα απεσταλμένα email υποτίθεται ότι προέρχονται από την Κρατική Φορολογική Υπηρεσία της Ουκρανίας, με θέμα: “Ειδοποίηση μη πληρωμής φόρου“.
Δείτε επίσης: Icefall: 56 ελαττώματα επηρεάζουν εκτεθειμένες βιομηχανικές συσκευές
Δεδομένου ότι η Ουκρανία βρίσκεται σε πόλεμο με τη Ρωσία και πολλοί πολίτες έχουν παραμελήσει τις φορολογικές υποχρεώσεις τους έναντι του κράτους, πολλοί μπορούν να πέσουν στην παγίδα.
Το Computer Emergency Response Team (CERT) της Ουκρανίας συμβουλεύει τους υπαλλήλους σε κρίσιμους οργανισμούς να είναι πολύ προσεκτικοί με τα emails που λαμβάνουν, καθώς στις περισσότερες περιπτώσεις, οι επιθέσεις ξεκινούν με phishing μηνύματα.
Πηγή: www.bleepingcomputer.com