INC. 5 Опубликовано 6 июля, 2022 Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) заявила, что российские хакеры используют уязвимость Follina в новых фишинговых кампаниях для установки вредоносного ПО CredoMap и маяков Cobalt Strike. По предположениям специалистов, хакерская группа APT28 ( Strontium, Fancy Bear и Sofacy ) рассылает электронные письма с вредоносным документом под названием «Ядерный терроризм — реальная угроза.rtf». Хакеры выбрали такую тему, чтобы побудить получателя открыть документ, так как среди украинцев распространен страх перед потенциальной ядерной атакой. RTF документ использует уязвимость CVE-2022-30190 (Follina) для загрузки и запуска вредоносного ПО CredoMap (docx.exe) на устройстве жертвы. Согласно отчету Malwarebytes , полезная нагрузка представляет собой инфостилер , который крадёт учетные данные и cookie файлы из браузеров Chrome, Edge и Firefox. Затем ПО извлекает украденные данные с помощью протокола электронной почты IMAP и отправляет всё на C2 адрес, который размещен на заброшенном сайте в Дубае. CERT-UA также выявила другую кампанию злоумышленника под названием UAC-0098, использующую CVE-2022-30190. CERT-UA сообщила , что субъект угрозы использовал DOCX файл с именем «Наложение штрафов.docx», а полезная нагрузка, полученная с удаленного ресурса, представляет собой маяк Cobalt Strike (ked.dll) с последней датой компиляции. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
