Μετά το Sandworm και το APT28 (γνωστό ως Fancy Bear), μια άλλη ομάδα ρωσικών χάκερ που χρηματοδοτείται από το κράτος, η APT29, αξιοποιεί την ευπάθεια CVE-2023-38831 στο WinRAR για επιθέσεις στον κυβερνοχώρο.
Το APT29 παρακολουθείται με διαφορετικά ονόματα (UNC3524,/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm) και στοχεύει οντότητες πρεσβειών με ένα δέλεαρ πώλησης αυτοκινήτων BMW.
Το ελάττωμα ασφαλείας CVE-2023-38831 επηρεάζει τις εκδόσεις WinRAR πριν από την 6.23 και επιτρέπει τη δημιουργία αρχείων .RAR και .ZIP που μπορούν να εκτελεστούν στον κώδικα παρασκηνίου που έχει προετοιμαστεί από τον εισβολέα για κακόβουλους σκοπούς.
Η ευπάθεια έχει γίνει αντικείμενο εκμετάλλευσης ως μηδενική ημέρα από τον Απρίλιο από παράγοντες απειλών που στοχεύουν φόρουμ για
κρυπτονομίσματα
και χρηματιστήρια.
Στατικός τομέας Ngrok για διαφημίσεις εξωφύλλου
Σε μια αναφορά αυτή την εβδομάδα, το Συμβούλιο Εθνικής
Ασφάλεια
ς και Άμυνας της Ουκρανίας (NDSC) αναφέρει ότι το APT29 χρησιμοποιεί ένα κακόβουλο αρχείο ZIP που εκτελεί ένα σενάριο στο παρασκήνιο για να δείξει ένα δέλεαρ PDF και να κατεβάσει κώδικα PowerShell που κατεβάζει και εκτελεί ένα ωφέλιμο φορτίο.
Το κακόβουλο αρχείο ονομάζεται «DIPLOMATIC-CAR-FOR-SALE-BMW.pdf» και στόχευε πολλές χώρες στην ευρωπαϊκή ήπειρο, συμπεριλαμβανομένων του Αζερμπαϊτζάν, της Ελλάδας, της Ρουμανίας και της Ιταλίας.
Ρώσοι χάκερ APT29 χρησιμοποιούν σφάλμα WinRAR στη διαφήμιση αυτοκινήτου BMW για διπλωμάτες
πηγή: Ουκρανικό Συμβούλιο Εθνικής Ασφάλειας και Άμυνας
Το APT29 έχει χρησιμοποιήσει το δέλεαρ για διαφήμιση αυτοκινήτου BMW στο παρελθόν για να στοχεύσει διπλωμάτες στην Ουκρανία κατά τη διάρκεια μιας εκστρατείας τον Μάιο που παρέδωσε ωφέλιμα φορτία ISO μέσω της τεχνικής λαθρεμπορίας HTML.
Σε αυτές τις επιθέσεις, το ουκρανικό NDSC λέει ότι το APT29 συνδύασε την παλιά τακτική phishing με μια νέα τεχνική για να επιτρέψει την επικοινωνία με τον κακόβουλο διακομιστή.
Το NDSC λέει ότι οι Ρώσοι χάκερ χρησιμοποίησαν έναν ελεύθερο στατικό τομέα Ngrok (ένα νέο χαρακτηριστικό
ανακοίνωσε ο Νγκρόκ
στις 16 Αυγούστου) για πρόσβαση στον διακομιστή εντολών και ελέγχου (C2) που φιλοξενείται στην παρουσία τους Ngrok.
“Σε αυτήν την άθλια τακτική, χρησιμοποιούν τις
υπηρεσίες
του Ngrok χρησιμοποιώντας δωρεάν στατικούς τομείς που παρέχονται από την Ngrok, συνήθως με τη μορφή ενός υποτομέα κάτω από το “ngrok-
free
.app.” Αυτοί οι υποτομείς λειτουργούν ως διακριτά και δυσδιάκριτα σημεία ραντεβού για τα κακόβουλα ωφέλιμα φορτία τους» –
Συμβούλιο Εθνικής Ασφάλειας και Άμυνας της Ουκρανίας
Με τη χρήση αυτής της μεθόδου, οι εισβολείς κατάφεραν να κρύψουν τη δραστηριότητά τους και να επικοινωνήσουν με παραβιασμένα συστήματα χωρίς να διατρέχουν τον κίνδυνο να εντοπιστούν.
Εφόσον οι ερευνητές της εταιρείας κυβερνοασφάλειας Group-IB ανέφεραν ότι η ευπάθεια CVE-2023-38831 στο WinRAR αξιοποιήθηκε ως μηδενική ημέρα, οι προηγμένοι παράγοντες απειλών άρχισαν να την ενσωματώνουν στις επιθέσεις τους.
Ερευνητές ασφαλείας στην ESET είδαν επιθέσεις τον Αύγουστο που αποδίδονταν στη ρωσική ομάδα χάκερ APT28 που εκμεταλλεύτηκε την ευπάθεια σε μια εκστρατεία ψαρέματος που στόχευε πολιτικές οντότητες στην ΕΕ και την Ουκρανία χρησιμοποιώντας την ατζέντα του Ευρωπαϊκού Κοινοβουλίου ως δέλεαρ.
Δέλεαρ από Ρώσους χάκερ APT28 με εκμετάλλευση WinRAR για να στοχεύσουν πολιτικές οντότητες
πηγή:
ESET
Μια αναφορά από την Google τον Οκτώβριο σημειώνει ότι το ζήτημα ασφάλειας εκμεταλλεύτηκαν Ρώσοι και Κινέζοι κρατικοί χάκερ για να κλέψουν διαπιστευτήρια και άλλα ευαίσθητα δεδομένα, καθώς και για να επιβεβαιώσουν την επιμονή στα συστήματα-στόχους.
Το ουκρανικό NDSC λέει ότι η παρατηρούμενη
καμπάνια
από το APT29 ξεχωρίζει επειδή συνδυάζει παλιές και νέες τεχνικές, όπως η χρήση της ευπάθειας WinRAR για την παράδοση ωφέλιμων φορτίων και τις υπηρεσίες Ngrok για την απόκρυψη της επικοινωνίας με το C2.
Η αναφορά από την ουκρανική υπηρεσία παρέχει ένα σύνολο δεικτών συμβιβασμού (IoC) που αποτελείται από ονόματα αρχείων και αντίστοιχους κατακερματισμούς για σενάρια PowerShell και ένα αρχείο email, μαζί με τομείς και διευθύνσεις email.
VIA:
bleepingcomputer.com