【安全资讯】APT28组织利用Follina漏洞部署信息窃取器

猎影实验室 2022-06-22 14:36:23 186人浏览

APT28又名Sofacy和Fancy Bear,是一个俄罗斯威胁组织,至少自 2004 年以来一直活跃。在最近的一次活动中,APT28利用Follina 代码执行漏洞部署了信息窃取器。攻击者针对乌克兰用户发送了以“核攻击”为诱饵的电子邮件,使用嵌入在Document.xml.rels文件中的远程模板从 URL检索远程 HTML 文件。HTML 文件使用 JavaScript 调用来window.location.href加载和执行PowerShell 脚本。解码后的脚本用于cmd运行下载并执行最终有效负载。最终的有效载荷是APT28此前用于攻击乌克兰目标的窃取器的变体。与之前的变体一样,窃取器的主要目的是从Google Chrome、Microsoft Edge、Firefox等浏览器中窃取数据。

失陷指标(IOC)5
APT APT28 CVE-2022-30190
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。