Le groupe de piratage APT28, également connu sous le nom Fancy Ours, a lancé une campagne d'attaque globale à l'aide des documents infectés qui font référence aux récentes attaques terroristes à New York. Le collectif criminel utilise une vulnérabilité récente affectant un composant de produits Microsoft Office appelé DDE (Dynamic Data Exchange).
APT28 Hacker campagne tire profit des attaques NYC Terror
les chercheurs en sécurité informatique ont découvert une nouvelle campagne mondiale exploité par le groupe de piratage APt28. Ce collectif criminel est largement connu pour avoir une compréhension très profonde de la cybersécurité et a fait les manchettes à plusieurs reprises. L'un de leurs plus célèbres violations est une intrusion de l'an dernier au sein du Comité national démocratique après les élections présidentielles américaines.
Cette fois, le groupe utilise la stratégie de création de grands ensembles de messages électroniques qui sont envoyés aux victimes. Ils disposent des techniques d'ingénierie sociale qui manipulent les victimes en interaction avec eux. Fournir des documents ou des dossiers d'intérêt aux victimes est l'une des méthodes d'instituer des programmes malveillants les plus largement utilisés et dangereux.
On croit que les messages peuvent avoir été envoyés récemment au personnel militaire en France ou en Allemagne. Ceci est basé sur plusieurs observations d'activité similaire par le groupe selon les rapports de sécurité effectués par des spécialistes qui suivent leur mouvement. À l'heure actuelle les informations disponibles montrent que les objectifs actuels sont les utilisateurs européens. Les chercheurs soulignent que le document ut “thème” d'une campagne récente des logiciels malveillants est appelé “SabreGuardian” qui est une référence directe aux opérations de l'armée américaine en Europe.
APT28 semble employer la stratégie de tirer parti des dernières nouvelles et des histoires qui ont un impact important. La campagne qui a les dernières préoccupations utilise des titres qui font référence aux récentes attaques terroristes à New York. Le fait qu'ils ont été envoyés à des personnes en Europe montre qu'il est possible que les pirates font semblant d'être une source de nouvelles, informateur ou d'un autre type de fournisseur.
Les chercheurs notent que les messages utilisent divers titres et adresses pour tromper les cibles en les ouvrir. Étonnamment, le corps du texte est vide et les cibles trouvera des documents de différents types attachés directement. Ils peuvent être soit des documents riches en texte, présentations, feuilles de calcul ou un autre fichier populaire. Si elles continuent encore à l'interaction d'une infection virale dangereuse suit.
APT28 Malware Leverahes Microsoft Office DDE vulnérabilité
APT28 utilise une ancienne fonctionnalité Microsoft Office appelé Dynamic Data Exchange (DROIT) qui est encore utilisé par des parties de la suite. Alors que de nombreuses implémentations technologiques les plus récents sont depuis devenus la norme, le module DDE est toujours conservée et active par défaut, même sur la plus récente de Microsoft Office libère. Il a d'abord été utilisé par la société pour permettre à ses utilisateurs de diffuser facilement des données d'un document à l'autre par injection de code. Ceci est un élément très utile en matière de mise à jour dynamique des champs de données dans les documents situés sur un partage réseau.
Aussi pratique que cela puisse paraître, la fonction DDE peut facilement être abusé par les criminels pour lancer des scripts et des commandes sur l'ordinateur victime. L'année dernière, un autre groupe criminel a utilisé une attaque DDE qui a donné lieu non seulement dans une intrusion réussie, mais aussi contournée mécanisme de protection anti-virus. Cela se fait par des scripts PowerShell qui permettent aux pirates d'exécuter du code arbitraire placé par les pirates.
Les attaques voyantes de APT28 réussissent même si les macros sont désactivées. Le document malveillant primaire qui est envoyé aux cibles est appelé “IsisAttackInNewYork.docx” et sa date de création est 2017-10-27T22:23:00À partir de. Une fois que les victimes ouvrir une série de commandes dangereuses suit.
- Déploiement initial Malware - La première action télécharge le logiciel malveillant Seduploader à distance. Ceci est un serveur contrôlé hacker qui peut accueillir une multitude de menaces qui peuvent être dynamiquement modifiés en fonction des objectifs visés.
- Le composant dangereux est un outil de reconnaissance de la première étape qui est capable d'extraire une multitude de données des machines aux victimes. Le profilage des machines est une étape importante qui est en mesure de classer les objectifs par le système.
- Infection plus Malware - En fonction des résultats et les instructions incorporées dans les machines peuvent être infectés par différentes menaces.
Comme il semble que le groupe de piratage APT28 utilise une approche plutôt sophistiquée en combinant une méthode d'infection généralisée, des astuces d'ingénierie sociale éprouvée et un éventail de différentes souches de logiciels malveillants en raison de l'intrusion.
Impact et conséquences de la Campagne Malware APT28
Les pirates APT28 distribuent les fichiers dangereux ciblant non seulement les utilisateurs fin, mais le personnel aussi sensibles. Les chercheurs en sécurité notent que, si la campagne actuelle est probablement cibler les officiers militaires en Europe en même temps les attaques peuvent être utilisés contre les utilisateurs d'entreprise. De telles stratégies sont largement utilisés contre les utilisateurs finaux lors de l'implantation des formes avancées de ransomware.
Les conséquences dangereuses qui sont liés aux intrusions en est qu'il il est supposé que les réseaux sensibles ont été touchés. De plus, le code dynamique permet aux opérateurs de pirates soit automatiquement ou sélectionner manuellement le logiciel malveillant le plus approprié. Combiné avec le fait que l'infection initiale extrait un grand nombre d'informations détaillées sur la machine compromise, ainsi que le réseau.
Nous recommandons vivement que tous les utilisateurs emploient une solution anti-spyware qualité. Il est capable de supprimer les infections actives de tous les types de virus, Les chevaux de Troie et les pirates de navigateur et de les supprimer par quelques clics de souris.
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter