Russische cyberbende gebruikt angst voor nucleaire oorlog om malware te planten


Het IT-beveiligingsbedrijf Malwarebytes rapporteert over recent ontdekte kwaadaardige documenten die: de MSDT-kwetsbaarheid in Windows om machines te infecteren van het misbruiken van slachtoffers. De bron is de Russische, door de staat gerunde cyberbende Fancy Bear, ook bekend onder het acroniem APT28. De documenten gebruikten angst voor een nucleaire oorlog als lokaas voor social engineering, met name gericht op potentiële slachtoffers in Oekraïne.

Zoals de IT-onderzoekers uitleggen, kregen ze op maandag van deze week een gemanipuleerd document genaamd Nucleair terrorisme een zeer reële bedreiging.rtf ontdekte aan de ene kant een kopie van a Artikel van de Atlantische Raad van mei over de nucleaire dreiging uit Rusland. Het laadt ook een externe sjabloon van het netwerk, een HTML-bestand. Dit decodeert op zijn beurt en start een Powershell-aanroep naar de ms-msdt-protocoldealer met behulp van JavaScript.

De kwaadaardige lading die de aanvallers downloaden en ermee lanceren, is malware die is geprogrammeerd in .Net om toegangsgegevens te extraheren die zijn opgeslagen in webbrowsers. Malwarebytes schrijft in de analyse, dat de malware toegang heeft tot gegevens van Google Chrome en Firefox en van Microsoft Edge. De malware levert de tijdens het proces verzamelde gegevens aan zijn command-and-control-server met behulp van IMAP.

Als de onderliggende kwetsbaarheid nog niet is verholpen, hoeft het document voor het infecteren van de computer niet eens expliciet te worden geopend. Updates die deze aanvalsvector voorkomen, Microsoft heeft een week geleden op patchdag van juni geleverd. Ze zijn echter nog niet op alle computers geïnstalleerd: sommige organisaties controleren ze eerst op compatibiliteit. Andere gebruikers sturen hun computer alleen in de slaapstand, zodat de updates nog niet zijn gedownload en geïnstalleerd of een herstart mogelijk nog steeds nodig is. Volgens Malwarebytes was het document al op 10 juni samengesteld, waardoor de eerste ontvangers van de documenten waarschijnlijk onbeschermd waren.

APT28, of Fancy Bear, is een door de staat gecontroleerde Russische cyberbende. De doelen van deze malware-aanvallen zijn daarom waarschijnlijk gerelateerd aan de agressieoorlog tegen Oekraïne. Het klopt dat getapte toegangsgegevens op het eerste gezicht niet erg spectaculair lijken. De cybercriminelen kunnen zich dan echter voordoen als andere afzenders en zo op basis van vertrouwen hun weg vervolgen om informatie en systemen te bemachtigen die voor hen interessant zijn.

Fancy Bear is niet de eerste criminele groep die misbruik maakt van deze MSDT-kwetsbaarheid om malware te verspreiden. Twee weken geleden al heeft de Cybergang begon achter de Quakbot-ransomwareom hun slachtoffers te infecteren met exploits voor dit beveiligingslek.


(dmk)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: