Hossein Jazi og Malwarebytes Threat Intelligence-team offentliggjorde torsdag en rapport om en ny trusselaktør som potensielt er rettet mot russiske og pro-russiske personer.
Angriperne inkluderte et manifest om Krim, som indikerer at angrepet kan ha vært politisk motivert. Angrepene inneholder et mistenkelig dokument som heter “Manifest.docx” som unikt laster ned og utfører doble angrepsvektorer: ekstern malinjeksjon og CVE-2021-26411, en Internet Explorer-utnyttelse.
“Begge teknikkene har blitt lastet inn av ondsinnede dokumenter ved bruk av malinjeksjonsteknikken. Den første malen inneholder en url for å laste ned en ekstern mal som har en innebygd VBA-rotte med full funksjon. Denne rotten har flere forskjellige muligheter, inkludert nedlasting, opplasting og kjøring av filer, “Sa Jazi.
“Den andre malen er en utnyttelse for CVE-2021-26411 som kjører en skall-kode for å distribuere den samme VBA-rotten. VBA-rotten er ikke tilslørt, men har fortsatt brukt noen interessante teknikker for skall- kodeinjeksjon. “
Jazi tilskrev angrepet den pågående konflikten mellom russisk og Ukraina, hvorav en del er sentrert på Krim. Rapporten bemerker at cyberangrep på begge sider har vært økende.
Men Jazi bemerker at manifestet og Krim -informasjonen kan brukes som et falskt flagg av trusselaktørene.
Malwarebytes Threat Intelligence-team oppdaget “Манифест.docx” (“Manifest.docx”) 21. juli, og fant ut at den laster ned og kjører de to malene: den ene er makroaktivert og den andre er en html -objekt som inneholder en Internet Explorer -utnyttelse.
Analytikerne fant at utnyttelsen av CVE-2021-26411 lignet et angrep som ble lansert av Lazarus APT.
Ifølge rapporten kombinerte angriperne sosialteknikk og utnyttelsen for å øke sjansene for å smitte ofre.
Malwarebytes klarte ikke å tilskrive angrepet til en bestemt aktør, men sa at et lokkedokument ble vist til ofrene som inneholdt en uttalelse fra en gruppe som var tilknyttet en skikkelse ved navn Andrey Sergeevich Portyko, som angivelig er imot Russlands president Vladimir Putins politikk på Krim Halvøy.
Jazi forklarte at lokkedokumentet er lastet inn etter at de eksterne malene er lastet inn. Dokumentet er på russisk, men er også oversatt til engelsk.
Angrepet har også en VBA-rotte som samler offerets informasjon, identifiserer AV-produktet som kjører på offerets maskin, kjører skallkoder, sletter filer, laster opp og laster ned filer mens du også leser informasjon om disk og filsystemer. < /p>
Jazi bemerket at i stedet for å bruke velkjente API-kaller for kjøring av skallkode som lett kan bli flagget av AV-produkter, brukte trusselsaktøren det særegne EnumWindows for å utføre skallkoden.
Sikkerhet
Kaseya ransomware -angrep: Det du trenger å vite Surfshark VPN -anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for forretninger og hjemmebruk De beste sikkerhetsnøklene for 2FA Hvordan ofre som betaler løsepenger oppfordrer til flere angrep (ZDNet YouTube)
Relaterte emner :
Utviklersikkerhet TV Datahåndtering CXO datasentre 