Hossein Jazi en het Threat Intelligence-team van Malwarebytes hebben donderdag een rapport uitgebracht waarin de nadruk wordt gelegd op een nieuwe dreigingsactor die zich mogelijk richt op Russische en pro-Russische individuen.
De aanvallers voegden een manifest over de Krim bij, waaruit bleek dat de aanval mogelijk politiek gemotiveerd was. De aanvallen bevatten een verdacht document met de naam “Manifest.docx” dat op unieke wijze dubbele aanvalsvectoren downloadt en uitvoert: sjablooninjectie op afstand en CVE-2021-26411, een Internet Explorer-exploit.
“Beide technieken zijn geladen door kwaadaardige documenten met behulp van de sjablooninjectietechniek. De eerste sjabloon bevat een url om een externe sjabloon te downloaden met een ingebouwde VBA Rat met volledige functionaliteit. Deze Rat heeft verschillende mogelijkheden, waaronder het downloaden, uploaden en uitvoeren van bestanden, ' zei Jazi.
“De tweede sjabloon is een exploit voor CVE-2021-26411 die een shell-code uitvoert om dezelfde VBA Rat te implementeren. De VBA Rat is niet versluierd, maar heeft nog steeds een aantal interessante technieken gebruikt voor shell- code-injectie.”
Jazi schreef de aanval toe aan het aanhoudende conflict tussen Rusland en Oekraïne, waarvan een deel zich op de Krim concentreert. Het rapport merkt op dat cyberaanvallen aan beide kanten toenemen.
Maar Jazi merkt wel op dat het manifest en de Krim-informatie door de dreigingsactoren als valse vlag kunnen worden gebruikt.
Het Threat Intelligence-team van Malwarebytes ontdekte de “Манифест.docx” (“Manifest.docx”) op 21 juli en ontdekte dat het de twee sjablonen downloadt en uitvoert: de ene is geschikt voor macro's en de andere is een html-object dat een Internet Explorer-exploit bevat.
De analisten ontdekten dat de exploitatie van CVE-2021-26411 leek op een aanval van de Lazarus APT.
Volgens het rapport hebben de aanvallers social engineering en de exploit gecombineerd om hun kansen om slachtoffers te besmetten te vergroten.
Malwarebytes kon de aanval niet toeschrijven aan een specifieke actor, maar zei dat een lokdocument aan de slachtoffers was getoond met een verklaring van een groep die banden had met een figuur genaamd Andrey Sergejevitsj Portyko, die zich naar verluidt verzet tegen het beleid van de Russische president Vladimir Poetin op de Krim. Schiereiland.
Jazi legde uit dat het lokdocument wordt geladen nadat de externe sjablonen zijn geladen. Het document is in het Russisch, maar is ook in het Engels vertaald.
De aanval bevat ook een VBA Rat die informatie over het slachtoffer verzamelt, het AV-product identificeert dat op de computer van het slachtoffer draait, shell-codes uitvoert, bestanden verwijdert, bestanden uploadt en downloadt, terwijl ook informatie over de schijf en het bestandssysteem wordt gelezen.< /p>
Jazi merkte op dat in plaats van bekende API-aanroepen te gebruiken voor het uitvoeren van shell-code, die gemakkelijk kan worden gemarkeerd door AV-producten, de dreigingsactor de kenmerkende EnumWindows gebruikte om zijn shell-code uit te voeren.
Beveiliging
Kaseya ransomware-aanval: wat u moet weten Surfshark VPN-beoordeling: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
Ontwikkelaar Beveiliging TV-gegevensbeheer CXO-datacenters 