Украинский CERT сообщил, что русскоязычная APT28 (она же Fancy Bear и Sofacy) использует уязвимость Follina (CVE-2022-30190), связанную с Windows MSDT, для развертывания вредоносного ПО CredoMap, маяков Cobalt Strike и кражи паролей.
Напомню, что Follina представляет собой проблему удаленного выполнения кода в Microsoft Windows Support Diagnostic Tool (MSDT) и затрагивает все версии Windows, получающие обновления безопасности (то есть Windows 7 и выше и Server 2008 и выше). Уже несколько недель уязвимость находится под активными атаками хакеров.
Злоумышленники могли использовать 0-day для произвольного выполнения кода с привилегиями вызывающего приложения, применяя баг для установки программ, просмотра, изменения или удаления данных, а также для создания новых учетных записей Windows (в зависимости от прав скомпрометированного пользователя).
Недавно, в рамках июньского «вторника обновлений» Microsoft исправила этот опасный баг.
По данным специалистов компании Malwarebytes, атаки APT28 с использованием Follina обычно начинаются с документа-приманки под названием «Nuclear Terrorism A Very Real Threat.rtf», при открытии которого и происходит эксплуатация бага и последующая загрузка малвари CredoMap (docx.exe).
CredoMap представляет собой инфостилера, который основан на .NET и, по данным Google Threat Analysis Group, уже использовался против украинских пользователей в прошлом месяце. Основная цель этой малвари — хищение данных, включая пароли и сохраненные файлы cookie, из ряда популярных браузеров, в том числе Google Chrome, Microsoft Edge и Mozilla Firefox.
Малварь извлекает украденные данные, используя протокол IMAP, а затем передает их на управляющий сервер, расположенный на заброшенном сайте в Дубае.
Параллельно с этим украинский CERT выявил и другую кампанию группировки, которая отслеживается как UAC-0098. Эти хакеры тоже используют CVE-2022-30190 для заражения целей. В качестве приманки здесь применяется документ DOCX с именем «Imposition of penalties.docx», а полезная нагрузка представляет собой маяк Cobalt Strike (ked.dll).
