Root NationНовиниНовини ITРосійські хакери використовують WinRAR для атак на посольства

Російські хакери використовують WinRAR для атак на посольства

-

Після Sandworm та APT28 (відомої як Fancy Bear), ще одна фінансована державою російська хакерська група APT29 використовує вразливість CVE-2023-38831 в WinRAR для кібератак. APT29 відстежується під різними іменами (UNC3524, /NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm) і атакує посольства, використовуючи як приманку продаж автомобілів BMW.

Вразливість CVE-2023-38831 впливає на версії WinRAR до 6.23 і дозволяє створювати архіви .RAR та .ZIP, які можуть виконуватися у фоновому коді, підготовленому зловмисником для зловмисних цілей. Вразливість експлуатується зловмисниками як “нульовий день” з квітня, націлившись на форуми, присвячені криптовалютам та біржовим операціям.

Російські хакери використовують WinRAR для атак на посольства

У своєму звіті цього тижня Рада національної безпеки і оборони України (РНБО) повідомила, що APT29 використовує шкідливий ZIP-архів, який у фоновому режимі запускає скрипт, що показує приманку у вигляді PDF-файлу і завантажує код PowerShell, який завантажує і виконує корисне навантаження. Шкідливий архів називається “DIPLOMATIC-CAR-FOR-SALE-BMW.pdf” і націлений на кілька країн європейського континенту, включаючи Азербайджан, Грецію, Румунію та Італію.

APT29 вже використовувала фішингову приманку з реклами автомобілів BMW для атак на дипломатів в Україні під час травневої кампанії, яка доставляла корисне навантаження ISO через техніку контрабанди HTML. У цих атаках, за даними РНБО України, APT29 поєднала стару фішингову тактику з новою технікою для забезпечення зв’язку зі зловмисним сервером.

Російські хакери використовують WinRAR для атак на посольства

У РНБО кажуть, що російські хакери використовували безкоштовний статичний домен Ngrok (нова функція Ngrok, про яку компанія оголосила 16 серпня) для доступу до сервера управління (C2), розміщеного на їхньому екземплярі Ngrok. “У цій підлій тактиці вони використовують послуги Ngrok, використовуючи безкоштовні статичні домени, надані Ngrok, як правило, у вигляді субдомену під “ngrok-free.app”. Ці субдомени діють як дискретні та непомітні точки зустрічі для їхнього шкідливого корисного навантаження“, – Рада національної безпеки і оборони України.

Використовуючи цей метод, зловмисникам вдавалося приховувати свою діяльність і спілкуватися зі зламаними системами без ризику бути виявленими. Після того, як дослідники компанії з кібербезпеки Group-IB повідомили, що вразливість CVE-2023-38831 в WinRAR була використана в нульовий день, просунуті суб’єкти загроз почали використовувати її в своїх атаках.

Дослідники безпеки з ESET виявили в серпні атаки, які приписують російській хакерській групі APT28, що використовувала вразливість у кампанії фішингу, спрямованій на політичні організації в ЄС та Україні, використовуючи порядок денний Європейського парламенту як приманку.

Російські хакери використовують WinRAR для атак на посольства

У жовтневому звіті Google зазначається, що проблема безпеки була використана російськими та китайськими державними хакерами для викрадення облікових даних та інших конфіденційних даних, а також для встановлення постійного доступу до цільових систем.

В українському РНБО зазначають, що кампанія APT29 вирізняється поєднанням старих і нових методів, таких як використання вразливості WinRAR для доставки корисного навантаження і сервісів Ngrok для приховування зв’язку з C2.

У звіті українського агентства наводиться набір індикаторів компрометації (IoC), що складається з імен файлів і відповідних хешів для сценаріїв PowerShell і файлу електронної пошти, а також доменів і адрес електронної пошти.

Читайте також:

Джерелоbleepingcomputer
Subscribe
Notify of
guest

2 Comments
Newest
Oldest Most Voted
Inline Feedbacks
View all comments
Xenjka
Xenjka
1 year ago

Як завжди такі новини краще читати далі заголовку

Ігор Валерійович
Ігор Валерійович
1 year ago

Якщо комусь цікаво зробити свій пк безпечніше за рахунок видалення руснявого ПЗ, то можу порадити також окрім вінрар видалити сканер рідок, архіватор 7зіп та поштовик зе бат. Я вже мовчу про КМС активатори вінди та офісу, а також улюблені репаки відеоігор від васяна нічого не вирізано нічого не пережато, група релізер владівосток фм.

Підписатися на оновлення