Hossein Jazi och Malwarebytes Threat Intelligence-team släppte en rapport på torsdagen om en ny hotaktör som potentiellt riktar sig till ryska och pro-ryska individer.
Angriparna inkluderade ett manifest om Krim, vilket tyder på att attacken kan ha varit politiskt motiverad. Attackerna innehåller ett misstänkt dokument som heter “Manifest.docx” som unikt laddar ner och kör dubbla attackvektorer: fjärrmallinsprutning och CVE-2021-26411, en Internet Explorer-exploatering.
“Båda teknikerna har laddats av skadliga dokument med hjälp av mallinjektionstekniken. Den första mallen innehåller en webbadress för att ladda ner en fjärrmall som har en inbäddad fullfjädrad VBA-råtta. Denna råtta har flera olika funktioner, inklusive nedladdning, uppladdning och körning av filer, “Sa Jazi.
“Den andra mallen är ett utnyttjande för CVE-2021-26411 som kör en skalkod för att distribuera samma VBA-råtta. VBA-råttan är inte dold men har fortfarande använt några intressanta tekniker för skal- kodinjektion. “
Jazi tillskrev attacken till den pågående konflikten mellan ryska och Ukraina, en del som är inriktad på Krim. Rapporten konstaterar att cyberattacker på båda sidor har ökat.
Men Jazi noterar att manifestet och Kriminformation kan användas som en falsk flagga av hotaktörerna.
Malwarebytes Threat Intelligence-team upptäckte “Манифест.docx” (“Manifest.docx”) den 21 juli och fann att det laddar ner och kör de två mallarna: en är makroaktiverad och den andra är en html-objekt som innehåller en Internet Explorer-exploatering.
Analytikerna fann att utnyttjandet av CVE-2021-26411 liknade en attack som startades av Lazarus APT.
Enligt rapporten kombinerade angriparna socialteknik och utnyttjande för att öka deras chanser att smitta offer.
Malwarebytes kunde inte tillskriva attacken till en specifik skådespelare, men sade att ett lokkedokument visades för offren som innehöll ett uttalande från en grupp som associerade med en figur som heter Andrey Sergeevich Portyko, som påstås motsätta Rysslands president Vladimir Putins politik på Krim Halvö.
Jazi förklarade att luredokumentet laddades efter att fjärrmallarna har laddats. Dokumentet är på ryska men översätts också till engelska.
Angreppet har också en VBA-råtta som samlar offrets information, identifierar AV-produkten som körs på offrets maskin, exekverar skalkoder, tar bort filer, laddar upp och laddar ner filer samtidigt som den läser information om disk- och filsystem. < /p>
Jazi noterade att i stället för att använda välkända API-uppmaningar till utförande av skalkod som enkelt kan flaggas av AV-produkter, använde hotaktören den distinkta EnumWindows för att köra sin skalkod.
Säkerhet
Kaseya ransomware attack: Vad du behöver veta Surfshark VPN -recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN: erna för företag och hemmabruk De bästa säkerhetsnycklarna för 2FA Hur offer som betalar lösen uppmuntrar till fler attacker (ZDNet YouTube)
Relaterade ämnen :
Utvecklare Säkerhet TV Datahantering CXO Datacenter 