Після Sandworm та APT28 (відомої як Fancy Bear), ще одна фінансована державою російська хакерська група APT29 використовує вразливість CVE-2023-38831 в WinRAR для кібератак. APT29 відстежується під різними іменами (UNC3524, /NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm) і атакує посольства, використовуючи як приманку продаж автомобілів BMW.
Вразливість CVE-2023-38831 впливає на версії WinRAR до 6.23 і дозволяє створювати архіви .RAR та .ZIP, які можуть виконуватися у фоновому коді, підготовленому зловмисником для зловмисних цілей. Вразливість експлуатується зловмисниками як “нульовий день” з квітня, націлившись на форуми, присвячені криптовалютам та біржовим операціям.
У своєму звіті цього тижня Рада національної безпеки і оборони України (РНБО) повідомила, що APT29 використовує шкідливий ZIP-архів, який у фоновому режимі запускає скрипт, що показує приманку у вигляді PDF-файлу і завантажує код PowerShell, який завантажує і виконує корисне навантаження. Шкідливий архів називається “DIPLOMATIC-CAR-FOR-SALE-BMW.pdf” і націлений на кілька країн європейського континенту, включаючи Азербайджан, Грецію, Румунію та Італію.
APT29 вже використовувала фішингову приманку з реклами автомобілів BMW для атак на дипломатів в Україні під час травневої кампанії, яка доставляла корисне навантаження ISO через техніку контрабанди HTML. У цих атаках, за даними РНБО України, APT29 поєднала стару фішингову тактику з новою технікою для забезпечення зв’язку зі зловмисним сервером.
У РНБО кажуть, що російські хакери використовували безкоштовний статичний домен Ngrok (нова функція Ngrok, про яку компанія оголосила 16 серпня) для доступу до сервера управління (C2), розміщеного на їхньому екземплярі Ngrok. “У цій підлій тактиці вони використовують послуги Ngrok, використовуючи безкоштовні статичні домени, надані Ngrok, як правило, у вигляді субдомену під “ngrok-free.app”. Ці субдомени діють як дискретні та непомітні точки зустрічі для їхнього шкідливого корисного навантаження“, – Рада національної безпеки і оборони України.
Використовуючи цей метод, зловмисникам вдавалося приховувати свою діяльність і спілкуватися зі зламаними системами без ризику бути виявленими. Після того, як дослідники компанії з кібербезпеки Group-IB повідомили, що вразливість CVE-2023-38831 в WinRAR була використана в нульовий день, просунуті суб’єкти загроз почали використовувати її в своїх атаках.
Дослідники безпеки з ESET виявили в серпні атаки, які приписують російській хакерській групі APT28, що використовувала вразливість у кампанії фішингу, спрямованій на політичні організації в ЄС та Україні, використовуючи порядок денний Європейського парламенту як приманку.
У жовтневому звіті Google зазначається, що проблема безпеки була використана російськими та китайськими державними хакерами для викрадення облікових даних та інших конфіденційних даних, а також для встановлення постійного доступу до цільових систем.
В українському РНБО зазначають, що кампанія APT29 вирізняється поєднанням старих і нових методів, таких як використання вразливості WinRAR для доставки корисного навантаження і сервісів Ngrok для приховування зв’язку з C2.
У звіті українського агентства наводиться набір індикаторів компрометації (IoC), що складається з імен файлів і відповідних хешів для сценаріїв PowerShell і файлу електронної пошти, а також доменів і адрес електронної пошти.
Читайте також:
Як завжди такі новини краще читати далі заголовку
Якщо комусь цікаво зробити свій пк безпечніше за рахунок видалення руснявого ПЗ, то можу порадити також окрім вінрар видалити сканер рідок, архіватор 7зіп та поштовик зе бат. Я вже мовчу про КМС активатори вінди та офісу, а також улюблені репаки відеоігор від васяна нічого не вирізано нічого не пережато, група релізер владівосток фм.