Actualités

Russie-Ukraine : Follina serait exploité par le cyber-groupe APT28 !

Au-delà du rapport de Microsoft condensant les cyber-faits (sécuritaires) depuis le début du conflit et des offensives entre l’Ukraine et la Russie (avec, concernant les cyber-groupes et les flux offensifs entre les deux pays ou pays assimilés à ce conflit, uniquement la partie russe), le cyber-groupe APT28 (Strontium, Sofacy, Fancy Bear) qui serait, avec d’autres cyber-groupes, affiliés au GRU (la Direction Générale des Renseignements Russes) aurait exploité Follina pour appuyer la Russie.

 

 

Pour rappel, il s’agit d’une vulnérabilité 0-day (CVE-2022-30190) qui exploite le MSDT (Microsoft Support Diagnostic Tool) pour permettre une cyber-attaque RCE (exécution de code à distance) couplée avec une élévation de privilèges, au détour d’un simple document (Word, comme le démontrait le PoC de DoublePulsar en Mai 2022 voire Benjamin Altpeter… dès le 1er Août 2020). La vulnérabilité ou exploit avait fait l’objet, depuis le 30 Mai 2022, d’un bulletin de sécurité par Microsoft.

Dans un billet du 21 Juin 2022, l’équipe Malwarebytes Threat Intelligence évoquait une campagne du cyber-groupe APT28 : connu, au moins, depuis 2004, il aurait été observé des éléments ou échantillon où Follina était exploité pour “télécharger et exécuter un nouveau stealer” (aspirateur de données). Une contextualisation de la vulnérabilité a été apporté par les chercheurs : dans le cadre de l’actuel conflit économique et politique entre la Russie et l’Ukraine, les cyber-attaquants enverraient un fichier recelant la charge virale Follina : nommé “le terrorisme nucléaire une menace très réelle” (maldoc en nom-fichier), cela pousserait certaines (futures) victimes à ouvrir le fichier DOCX (qui imite un RTF) qui intègre une URL pour envoyer un fichier HTML à distance. Ce dernier recèle, en réalité du JavaScript (window.location.href) qui ira charger et exécuter, donc, le script (PowerShell) sous URI (ms-msdt MSProtocol).

Un message d’erreur s’affiche pendant ces opérations pour duper la victime (le temps que l’ensemble s’installe sur le terminal) avec, pour le modus operandi, un exploit qui serait similaire (à peu de choses près) à celui usité par les cyber-attaquants auparavant et dans le même but (théoriquement, cibler des personnes ou entités en Ukraine). De là, Follina pourra :

 

 

  • Sous Google Chrome, Microsoft Edge : ex-filtrer les identifiants (nom d’utilisateur, mot de passe, URL) recensés dans le navigateur Web concerné avec “parfois” une ex-filtration également des cookies de session quand bien même les identifiants ne sont pas enregistrés dans le navigateur, est-il précisé ;
  • Sous Firefox : ex-filtrer des données par profil, depuis le fichier cookies.sqlite (identifiants) et / ou les fichiers logins.json, key3.db, key4.db, cert8.db, cert9.db, signons.sqlite (mots de passe) en passant par les certificats qui sont enregistrés depuis le navigateur Web. Cela fonctionnera aussi pour les anciennes versions quand bien mêle le navigateur ne les supporte plus. Pour le mot de passe maître, les cyber-attaquants pourront le cibler pour en déchiffrer la teneur (hors ligne) avec une récupération de cette donnée, tôt ou tard, quand le piratage a été effectif.

 

Cyber-groupes par tendances ou estimations des inclinaisons, au 13 Juin 2022.
(Source : CyberKnow – Twitter)

 

L’ex-filtration de ces données se fait par serveur command-and-control sous protocole IMAP (messagerie !) : par rapport à l’autre variation (originelle), l’URL distante utilisée pour l’ex-filtration est différente (specialityllc contre sartoc, auparavant) en notant que les deux domaines proviennent toujours du même pays (Dubaï) ce qui peut simplement suggérer que les propriétaires (légitimes) de cette URL ne sont pas au courant de se détournement… A veiller !

 

 

 

Source : Blog Malwarebytes Threat Intelligence – 21 Juin 2022 – Follina : exploit potentiel du cyber-groupe APT28 dans le conflit Ukraine-Russie (et indicateurs de compromission).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.12.0