Η ουκρανική ομάδα αντιμετώπισης έκτακτης ανάγκης υπολογιστών (CERT) προειδοποιεί ότι οι ρωσικές ομάδες χάκερ εκμεταλλεύονται την ευπάθεια εκτέλεσης κώδικα Follina σε νέες καμπάνιες phishing για να εγκαταστήσουν το κακόβουλο λογισμικό CredoMap και τους φάρους Cobalt Strike.
Η ομάδα hacking APT28 πιστεύεται ότι στέλνει μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν ένα κακόβουλο όνομα εγγράφου “Nuclear Terrorism A Very Real Threat.rtf.”. Οι φορείς απειλών επέλεξαν το θέμα αυτού του email για να δελεάσουν τους παραλήπτες να το ανοίξουν, εκμεταλλευόμενοι τον φόβο που διαδίδεται στους Ουκρανούς για πιθανή πυρηνική επίθεση.
Οι φορείς απειλών χρησιμοποίησαν επίσης παρόμοια τακτική τον Μάιο του 2022, όταν η CERT-UA εντόπισε τη διάδοση κακόβουλων εγγράφων που προειδοποιούσαν για επίθεση με χημικά.
Το έγγραφο RTF που χρησιμοποιείται στην καμπάνια APT28 επιχειρεί να εκμεταλλευτεί το CVE-2022-30190, γνωστό και ως “Follina”, για λήψη και εκκίνηση του κακόβουλου λογισμικού CredoMap (docx.exe) στη συσκευή ενός στόχου.
Αυτή η ευπάθεια είναι ένα ελάττωμα του Εργαλείου διάγνωσης της Microsoft, το οποίο εκμεταλλεύεται στη φύση τουλάχιστον από τον Απρίλιο του 2022, ενεργοποιώντας κακόβουλες λήψεις απλά ανοίγοντας ένα αρχείο εγγράφου ή στην περίπτωση RTF, απλώς προβάλλοντάς το στο παράθυρο προεπισκόπησης των Windows.