Российские хакеры используют функцию Ngrok и эксплойт WinRAR для атак на посольства
Вступить в наш чат
После Sandworm и APT28 (известного как Fancy Bear), другая российская хакерская группа, APT29, использует уязвимость CVE-2023-38831 в WinRAR для кибератак. Сегодня узнаем подробнее об этой атаке.
Кто ответственен за взлом
APT29 отслеживается под разными именами (UNC3524,/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm) и нацелен на посольства с помощью приманки для продажи автомобилей BMW.
Уязвимость безопасности CVE-2023-38831 затрагивает версии WinRAR до 6.23 и позволяет создавать архивы .RAR и .ZIP, которые могут выполняться в фоновом коде, подготовленном злоумышленником для вредоносных целей.
Уязвимость использовалась как нулевой день с апреля злоумышленниками, нацеленными на форумы по торговле криптовалютами и акциями.
Статический домен Ngrok
В отчете, опубликованном на этой неделе, Совет национальной безопасности и обороны Украины (NDSC) сообщает, что APT29 использует вредоносный ZIP-архив, который в фоновом режиме запускает сценарий для показа PDF-приманки и загрузки кода PowerShell, который загружает и выполняет полезную нагрузку.
Вредоносный архив называется «DIPLOMATIC-CAR-FOR-SALE-BMW.pdf» и нацелен на несколько стран европейского континента, включая Азербайджан, Грецию, Румынию и Италию.
APT29 уже использовал фишинговую приманку с рекламой автомобилей BMW для нападения на дипломатов в Украине во время майской кампании по доставке полезных данных ISO с помощью техники контрабанды HTML.
Украинский NDSC утверждает, что в этих атаках APT29 объединил старую тактику фишинга с новой техникой, обеспечивающей связь с вредоносным сервером.
NDSC сообщает, что российские хакеры использовали бесплатный статический домен Ngrok (новая функция, о которой Ngrok объявила 16 августа) для доступа к серверу управления и контроля (C2), размещенному на их экземпляре Ngrok.
Используя этот метод, злоумышленникам удалось скрыть свою активность и связаться со скомпрометированными системами, не подвергаясь риску быть обнаруженными.
Поскольку исследователи из компании Group-IB, занимающейся кибербезопасностью, сообщили, что уязвимость CVE-2023-38831 в WinRAR использовалась как нулевой день, продвинутые злоумышленники начали включать ее в свои атаки.
Исследователи безопасности из ESET обнаружили в августе атаки, приписываемые российской хакерской группе APT28, которая использовала уязвимость в целевой фишинговой кампании, нацеленной на политические субъекты в ЕС и Украине, используя повестку дня Европейского парламента в качестве приманки.
В октябрьском отчете Google отмечается, что проблема безопасности была использована российскими и китайскими государственными хакерами для кражи учетных данных и других конфиденциальных данных, а также для обеспечения устойчивости целевых систем.
Украинский NDSC заявляет, что наблюдаемая кампания APT29 выделяется тем, что она сочетает в себе старые и новые методы, такие как использование уязвимости WinRAR для доставки полезных данных и сервисов Ngrok для сокрытия связи с C2.
В отчете украинского агентства представлен набор индикаторов компрометации (IoC), состоящий из имен файлов и соответствующих хешей для сценариев PowerShell и файла электронной почты, а также доменов и адресов электронной почты.
Древовидный вид