Hossein Jazi und das Threat Intelligence-Team von Malwarebytes haben am Donnerstag einen Bericht veröffentlicht, in dem ein neuer Bedrohungsakteur hervorgehoben wird, der möglicherweise auf russische und prorussische Personen abzielt.
Die Angreifer legten ein Manifest über die Krim bei, das darauf hinwies, dass der Angriff möglicherweise politisch motiviert war. Die Angriffe enthalten ein verdächtiges Dokument namens “Manifest.docx”, das auf einzigartige Weise doppelte Angriffsvektoren herunterlädt und ausführt: Remote Template Injection und CVE-2021-26411, ein Internet Explorer-Exploit.
“Beide Techniken wurden von bösartigen Dokumenten mit der Template-Injection-Technik geladen. Die erste Vorlage enthält eine URL zum Herunterladen einer Remote-Vorlage, die eine eingebettete VBA-Ratte mit vollem Funktionsumfang enthält. Diese Rat hat verschiedene Funktionen, darunter das Herunterladen, Hochladen und Ausführen von Dateien, “, sagte Jazi.
“Die zweite Vorlage ist ein Exploit für CVE-2021-26411, der einen Shell-Code ausführt, um dieselbe VBA-Rate bereitzustellen. Die VBA-Rate ist nicht verschleiert, hat aber dennoch einige interessante Techniken für Shell- Codeinjektion.”
Jazi führte den Angriff auf den anhaltenden Konflikt zwischen Russland und der Ukraine zurück, der sich teilweise auf die Krim konzentriert. Der Bericht stellt fest, dass Cyberangriffe auf beiden Seiten zugenommen haben.
Aber Jazi weist darauf hin, dass das Manifest und die Krim-Informationen von den Bedrohungsakteuren als falsche Flagge verwendet werden können.
Das Threat Intelligence-Team von Malwarebytes entdeckte am 21. Juli die “Манифест.docx” (“Manifest.docx”) und stellte fest, dass sie die beiden Vorlagen herunterlädt und ausführt: eine ist makroaktiviert und die andere ist eine html-Objekt, das einen Internet Explorer-Exploit enthält.
Die Analysten stellten fest, dass die Ausnutzung von CVE-2021-26411 einem Angriff der Lazarus APT ähnelte.
Dem Bericht zufolge kombinierten die Angreifer Social Engineering und Exploit, um ihre Chancen, Opfer zu infizieren, zu erhöhen.
Malwarebytes war nicht in der Lage, den Angriff einem bestimmten Akteur zuzuordnen, sagte jedoch, dass den Opfern ein Lockvogeldokument gezeigt wurde, das eine Aussage einer Gruppe enthielt, die mit einer Person namens Andrey Sergeevich Portyko in Verbindung steht, die angeblich die Politik des russischen Präsidenten Wladimir Putin auf der Krim ablehnt Halbinsel.
Jazi erklärte, dass das Köderdokument geladen wird, nachdem die Remote-Vorlagen geladen wurden. Das Dokument ist in Russisch, wird aber auch ins Englische übersetzt.
Der Angriff umfasst auch eine VBA-Ratte, die Informationen des Opfers sammelt, das auf dem Computer des Opfers ausgeführte AV-Produkt identifiziert, Shell-Codes ausführt, Dateien löscht, Dateien hoch- und herunterlädt und gleichzeitig Festplatten- und Dateisysteminformationen liest.< /p>
Jazi bemerkte, dass der Bedrohungsakteur, anstatt bekannte API-Aufrufe für die Ausführung von Shell-Code zu verwenden, die leicht von AV-Produkten markiert werden können, das unverwechselbare EnumWindows verwendet, um seinen Shell-Code auszuführen.
Sicherheit
Kaseya Ransomware-Angriff: Was Sie wissen müssen Surfshark VPN-Rezension: Es ist billig, aber ist es gut? Die besten Browser für Datenschutz Cybersicherheit 101: Schützen Sie Ihre Privatsphäre Die besten Antiviren-Software und -Apps Die besten VPNs für Unternehmen und Privat Die besten Sicherheitsschlüssel für 2FA Wie Opfer, die das Lösegeld zahlen, weitere Angriffe fördern (ZDNet YouTube)
Verwandte Themen :
Entwickler Sicherheit TV-Datenverwaltung CXO-Rechenzentren 