Den APT28 hacking gruppe, også kendt som Fancy Bjørn, har indledt et globalt angreb kampagne ved hjælp af inficerede dokumenter, der henviser til de seneste terrorangreb i New York. Den kriminelle kollektiv bruger en nyere sårbarhed, der påvirker en komponent i Microsoft Office-produkter kaldet DDE (Dynamic Data Exchange).
APT28 Hacker Kampagne drager fordel af NYC Terror Attacks
Computer sikkerhed forskere afsløret en ny global kampagne drives af APt28 hacking gruppe. Denne kriminelle kollektiv er almindeligt kendt for at have en meget dyb forståelse for sikkerheden på internettet og har skabt overskrifter utallige gange. En af deres mest berømte brud er en en indtrængen sidste år i Den Demokratiske Nationale Komité efter det amerikanske præsidentvalg.
Denne gang gruppen bruger strategien om at skabe store sæt af e-mails, der sendes til ofrene. De har social engineering taktik, der manipulerer ofrene i at interagere med dem. Forudsat dokumenter eller filer af interesse for ofrene er en af de mest udbredte og farlige metoder til indførelse af malware.
Det menes, at de meddelelser, har måske for nylig blevet sendt til militært personel i Frankrig eller Tyskland. Dette er baseret på en række observationer af lignende aktivitet ved den gruppe, i henhold til sikkerhedsrapporter udført af specialister, der sporer deres bevægelse. I øjeblikket viser de foreliggende oplysninger, at de nuværende mål er europæiske brugere. Forskerne punkt ut, at dokumentet “tema” fra en nylig malware kampagne kaldes “SabreGuardian” der er en direkte henvisning til operationer af den amerikanske hær i Europa.
APT28 synes at ansætte strategien om at drage fordel af at bryde nyheder og historier, der har en stor indvirkning. Den kampagne, der har de seneste bekymringer bruger titler, der henviser til de seneste terrorangreb i New York. Det faktum, at de er blevet sendt til mennesker i Europa viser, at det er muligt, at hackere foregive at være en nyhedskilde, meddeler eller anden type udbyder.
Forskerne bemærker, at de budskaber bruger forskellige titler og adresser for at narre målene til at åbne dem. Overraskende brødteksten er tom, og målene vil finde dokumenter af forskellige typer vedhæftede direkte. De kan være enten rige tekstdokumenter, præsentationer, regneark eller en anden populær fil. Hvis de fortsætter videre med interaktion en farlig virusinfektion følger.
APT28 Malware Leverahes Microsoft Office DDE Sårbarhed
APT28 bruger en gammel Microsoft Office-funktion, der hedder Dynamic Data Exchange (HØJRE) som stadig bliver udnyttet af dele af pakken. Mens mange nyere teknologi implementeringer siden er blevet standard, DDE-modulet er stadig bevaret og aktiv som standard selv på den nyere Microsoft Office frigiver. Det har oprindeligt været anvendt af selskabet til at give sine brugere til nemt at placere data fra et dokument til et andet via kode injektion. Dette er en meget nyttig komponent, når det kommer til dynamisk opdatering af datafelter i dokumenter placeret på et netværksshare.
Så bekvemt som det kan lyde, DDE-funktionen kan nemt misbruges af kriminelle til at lancere scripts og kommandoer på computeren offer. Sidste år en anden kriminel gruppe udnyttet en DDE angreb, som ikke kun resulteret i en vellykket indbrud, men også forbigået anti-virus beskyttelsesmekanisme. Dette sker gennem PowerShell scripts, der tillader angribere at udføre vilkårlig kode placeret af hackere.
De seende APT28 angreb er en succes, selv om makroer er deaktiveret. Den primære ondsindede dokument, der sendes til de mål, der kaldes “IsisAttackInNewYork.docx” og datoen for dens skabelse er 2017-10-27T22:23:00Fra. Når ofrene åbne den en række farlige kommandoer følger.
- Indledende Malware Deployment - Den første aktion downloader Seduploader malware fra et fjerntliggende sted. Dette er en hacker-kontrolleret server, som kan være vært for en lang række trusler, der kan dynamisk ændres afhængig af de tilsigtede mål.
- Den farlige komponent er en første-trins rekognoscering værktøj, der er i stand til at udtrække et væld af data fra offer maskiner. Profilering maskinerne er et vigtigt skridt, som er i stand til at kategorisere de mål, som systemet.
- Yderligere malwareinfektion - Afhængigt af resultaterne og de indbyggede instruktioner maskinerne kan være inficeret med forskellige trusler.
Som det ser ud i APT28 hacking gruppe bruger en temmelig sofistikeret tilgang ved at kombinere en omsiggribende infektion metode, gennemprøvede social engineering tricks og en vifte af forskellige malware stammer som følge af indtrængen.
Virkninger og konsekvenser af den APT28 Malware kampagne
De APT28 hackere distribuere de farlige filer rettet mod ikke bare slutbrugere, men også følsomme personale. De sikkerhedseksperter bemærke, at mens den nuværende kampagne er formentlig rettet mod militære officerer i Europa på samme tid angrebene kan anvendes mod erhvervsbrugere. Sådanne strategier er meget udbredt mod slutbrugere når implanterer avancerede former for ransomware.
De farlige konsekvenser, der er relateret til de foretagne indtrængen er, at det er det spekuleret på, at følsomme netværk er blevet påvirket. Desuden den dynamiske kode tillader hacker operatører til enten automatisk eller manuelt vælge den mest hensigtsmæssige malware. Kombineret med det faktum, at den oprindelige infektion udtrækker en masse detaljerede oplysninger om den kompromitterede maskine, samt netværket.
Vi anbefaler, at alle brugere anvender en kvalitet anti-spyware løsning. Det er i stand til at fjerne aktive infektioner af alle former for virus, Trojanske heste og browser hijackers og slette dem via et par museklik.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: