ทีมรับมือภัยคุกคามทางคอมพิวเตอร์ของยูเครน (CERT-UA) ได้แจ้งเตือนเกี่ยวกับการโจมตีแบบ Spear-Phishing รูปแบบใหม่ที่ใช้ช่องโหว่ Follina บน Windows เพื่อติดตั้งมัลแวร์สำหรับขโมยรหัสผ่าน โดยพบว่าเป็นกลุ่ม APT28 ซึ่งคาดว่าเป็นหน่วยข่าวกรองของทหารรัสเซีย โดยมีชื่อเรียกอื่น ๆ เช่น Fancy Bear และ Sofacy
CERT-UA ระบุว่าในการโจมตีจะเริ่มต้นด้วยการส่งไฟล์เอกสารชื่อว่า “Nuclear Terrorism A Very Real Threat.rtf” มาทางอีเมล และเมื่อเปิดไฟล์ขึ้นมา มันจะทำการใช้ช่องโหว่ในการดาวน์โหลด และเรียกใช้มัลแวร์ CredoMap
Follina (CVE-2022-30190, CVSS score 7.8) เป็นการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่มีผลกระทบกับ Windows Support Diagnostic Tool (MSDT) แต่ได้รับการแก้ไขแล้วเมื่อวันที่ 14 มิถุนายน 2565 ซึ่งเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ในเดือนมิถุนายน
ตามรายงานที่เผยแพร่โดย Malwarebytes พบว่า CredoMap malware เป็นมัลแวร์ประเภท Credential Stealer ที่ใช้ .NET-based ซึ่ง Google Threat Analysis Group (TAG) ก็ได้เปิดเผยไปเมื่อเดือนที่แล้วว่าพบการโจมตีผู้ใช้งานใน Ukraine
จุดประสงค์หลักของมัลแวร์คือขโมยข้อมูล รวมถึงรหัสผ่าน และคุกกี้ที่บันทึกไว้จาก Browsers ต่าง ๆ เช่น Google Chrome, Microsoft Edge และ Mozilla Firefox
ซึ่ง Malwarebytes ได้กล่าวเสริมว่า “แม้ว่าข้อมูลการใช้งาน Browsers อาจจะดูเหมือนเป็นข้อมูลเพียงเล็กน้อย แต่รหัสผ่านนั้นเป็นคีย์หลักในการเข้าถึงข้อมูลที่มีความสำคัญ ซึ่งการมีส่วนร่วมของ APT28 ชี้ให้เห็นว่า Campaign การโจมตีครั้งนี้เป็นส่วนหนึ่งของความขัดแย้งระหว่างรัสเซีย และยูเครน หรืออย่างน้อยก็เชื่อมโยงกับนโยบายต่างประเทศ และวัตถุประสงค์ทางการทหารของรัสเซีย
นอกจาก APT28 แล้วก็ยังมีกลุ่มอื่น ๆ ที่ได้มีการโจมตีที่คล้ายกัน เช่น Sandworm และ UAC-0098 ที่ใช้ประโยชน์จากช่องโหว่ Follina เพื่อติดตั้ง Crescentlmp และ Cobalt Strike Beacons บนเครื่องเป้าหมาย
ที่มา : thehackernews.com