Pelaku ancaman yang diduga terkait dengan negara telah dikaitkan dengan serangkaian serangan baru yang mengeksploitasi kerentanan Microsoft Office “Follina” untuk menargetkan entitas pemerintah di Eropa dan AS
Perusahaan keamanan perusahaan Proofpoint mengatakan telah memblokir upaya untuk mengeksploitasi kelemahan eksekusi kode jarak jauh, yang sedang dilacak CVE-2022-30190 (skor CVSS: 7.8). Tidak kurang dari 1.000 pesan phishing yang berisi dokumen iming-iming dikirim ke target.
“Kampanye ini menyamar sebagai kenaikan gaji dan menggunakan RTF dengan muatan eksploitasi yang diunduh dari 45.76.53[.]253,” perusahaan dikatakan dalam serangkaian tweet.
Payload, yang bermanifestasi dalam bentuk skrip PowerShell, dikodekan Base64 dan berfungsi sebagai pengunduh untuk mengambil skrip PowerShell kedua dari server jarak jauh bernama “pemberitahuan penjual[.]hidup.”
“Skrip ini memeriksa virtualisasi, mencuri informasi dari browser lokal, klien email, dan layanan file, melakukan pengintaian mesin, dan kemudian mem-zip-nya untuk file exfil.[tration] ke 45.77.156[.]179,” tambah perusahaan itu.
Kampanye phishing belum dikaitkan dengan kelompok yang diketahui sebelumnya, tetapi mengatakan itu dipasang oleh aktor negara-bangsa berdasarkan kekhususan penargetan dan kemampuan pengintaian luas muatan PowerShell.
Perkembangan tersebut mengikuti upaya eksploitasi aktif oleh aktor ancaman China yang dilacak sebagai TA413 untuk mengirimkan arsip ZIP yang dipersenjatai dengan dokumen Microsoft Word yang dicurangi malware.
Kerentanan Follina, yang memanfaatkan skema URI protokol “ms-msdt:” untuk mengontrol perangkat target dari jarak jauh, tetap tidak ditambal, dengan Microsoft mendesak pelanggan untuk menonaktifkan protokol guna mencegah vektor serangan.
“Proofpoint terus melihat serangan yang ditargetkan memanfaatkan CVE-2022-30190,,” Sherrod DeGrippo, wakil presiden penelitian ancaman, mengatakan dalam sebuah pernyataan yang dibagikan kepada The Hacker News.
“Pengintaian ekstensif yang dilakukan oleh skrip PowerShell kedua menunjukkan seorang aktor yang tertarik pada berbagai macam perangkat lunak pada komputer target. Ini, ditambah dengan penargetan yang ketat dari pemerintah Eropa dan pemerintah lokal AS, membuat kami curiga bahwa kampanye ini memiliki keberpihakan pada negara bagian. perhubungan.”