【安全资讯】APT28组织利用Follina漏洞部署信息窃取器

APT28又名Sofacy和Fancy Bear，是一个俄罗斯威胁组织，至少自 2004 年以来一直活跃。在最近的一次活动中，APT28利用Follina 代码执行漏洞部署了信息窃取器。攻击者针对乌克兰用户发送了以“核攻击”为诱饵的电子邮件，使用嵌入在Document.xml.rels文件中的远程模板从 URL检索远程 HTML 文件。HTML 文件使用 JavaScript 调用来window.location.href加载和执行PowerShell 脚本。解码后的脚本用于cmd运行下载并执行最终有效负载。最终的有效载荷是APT28此前用于攻击乌克兰目标的窃取器的变体。与之前的变体一样，窃取器的主要目的是从Google Chrome、Microsoft Edge、Firefox等浏览器中窃取数据。