Hossein Jazi og Malwarebytes 'Threat Intelligence-team offentliggjorde torsdag en rapport, der fremhævede en ny trusselsaktør, der potentielt kan målrette mod russiske og pro-russiske personer.
Angriberne inkluderede et manifest om Krim, der angav, at angrebet kan have været politisk motiveret. Angrebene indeholder et mistænkeligt dokument ved navn “Manifest.docx”, der unikt downloader og udfører dobbelte angrebsvektorer: fjernskabeloninjektion og CVE-2021-26411, en Internet Explorer-udnyttelse.
“Begge teknikker er blevet indlæst af ondsindede dokumenter ved hjælp af skabelonindsprøjtningsteknikken. Den første skabelon indeholder en url til at downloade en fjernskabelon, der har en integreret fuldt udstyret VBA-rotte. Denne rotte har flere forskellige muligheder, herunder download, upload og eksekvering af filer, “Sagde Jazi.
“Den anden skabelon er en udnyttelse til CVE-2021-26411, der udfører en shell-kode for at implementere den samme VBA-rotte. VBA-rotten er ikke tilsløret, men har stadig brugt nogle interessante teknikker til skal- kodeindsprøjtning. “
Jazi tilskrev angrebet den igangværende konflikt mellem russisk og Ukraine, hvoraf en del er centreret om Krim. Rapporten bemærker, at cyberangreb på begge sider har været stigende.
Men Jazi bemærker dog, at manifestet og Krim -oplysninger kan bruges som et falsk flag af trusselsaktørerne.
Malwarebytes 'Threat Intelligence-team opdagede “Манифест.docx” (“Manifest.docx”) den 21. juli og fandt ud af, at det downloader og udfører de to skabeloner: den ene er makroaktiveret og den anden er en html -objekt, der indeholder en Internet Explorer -udnyttelse.
Analytikerne fandt ud af, at udnyttelsen af CVE-2021-26411 lignede et angreb, der blev lanceret af Lazarus APT.
Ifølge rapporten kombinerede angriberne socialteknologi og udbytten for at øge deres chancer for at smitte ofre.
Malwarebytes var ikke i stand til at tilskrive angrebet til en bestemt aktør, men sagde, at der blev vist et lokkedokument til ofre, der indeholdt en erklæring fra en gruppe, der var tilknyttet en figur ved navn Andrey Sergeevich Portyko, som angiveligt er imod den russiske præsident Vladimir Putins politik på Krim Halvø.
Jazi forklarede, at lokkedokumentet er indlæst, efter at de eksterne skabeloner er indlæst. Dokumentet er på russisk, men er også oversat til engelsk.
Angrebet indeholder også en VBA-rotte, der indsamler offerets oplysninger, identificerer AV-produktet, der kører på offerets maskine, udfører shell-koder, sletter filer, uploader og downloader filer, samtidig med at det læser oplysninger om disk- og filsystemer. < /p>
Jazi bemærkede, at trusselsaktøren i stedet for at bruge velkendte API-opkald til shell-kodeudførelse, som let kan blive markeret af AV-produkter, brugte den karakteristiske EnumWindows til at udføre sin shell-kode.
Sikkerhed
Kaseya ransomware -angreb: Hvad du har brug for at vide Surfshark VPN -anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af personlige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Hvordan ofre, der betaler løsesummen, tilskynder til flere angreb (ZDNet YouTube)
Relaterede emner :
Developer Security TV Data Management CXO Data Centers 