Проруски хакерски групи са използвали наскоро разкрита уязвимост в сигурността на програмата за архивиране WinRAR като част от фишинг кампания, предназначена за събиране на данни от компрометирани системи.
„Атаката включва използването на злонамерени архивни файлове, които използват наскоро откритата уязвимост, засягаща версиите на софтуера за компресиране WinRAR преди 6.23 и проследена като CVE-2023-38831“, се казва в доклад на Cluster25, публикуван миналата седмица.
Архивът съдържа заложен в капана PDF файл, който при щракване предизвиква изпълнение на Windows Batch скрипт, който стартира PowerShell команди за отваряне на обратна обвивка, която дава на нападателя отдалечен достъп до целевия хост.
Разгърнат е и PowerShell скрипт, който краде данни, включително идентификационни данни за вход, от браузърите Google Chrome и Microsoft Edge. Прихванатата информация се ексфилтрира чрез легитимна уеб услуга webhook[.]site.
CVE-2023-38831 се отнася до високосериозен недостатък в WinRAR, който позволява на атакуващите да изпълнят произволен код при опит за преглед на доброкачествен файл в архив ZIP. Констатациите на Group-IB от август 2023 г. разкриват, че грешката е била използвана като нулев ден от април 2023 г. насам в атаки, насочени към търговци.
Разработката идва в момент, когато Mandiant, собственост на Google, картографира „бързо развиващите се“ фишинг операции на рускaта APT29, насочени към дипломатически структури, на фона на повишено темпо и акцент върху Украйна през първата половина на 2023 г.
Съществените промени в инструментариума и похватите на APT29 „вероятно са предназначени да поддържат повишената честота и обхват на операциите и да затрудняват съдебния анализ“, заяви компанията, както и че тя е „използвала различни вериги за заразяване едновременно в различни операции“.
Някои от забележителните промени включват използването на компрометирани сайтове на WordPress за хостване на полезните товари на първия етап, както и допълнителни компоненти за замаскиране и антианализ.
AРT29, която също е свързана с експлоатация, насочена към облака, е един от многото клъстери на активност, произхождащи от Русия, които се спряха на Украйна след началото на войната миналата година.
През юли 2023 г. Екипът за реагиране при компютърни инциденти на Украйна (CERT-UA) замеси Turla в атаки, при които се използват зловредният софтуер Capibar и задната врата Kazuar за шпионски атаки срещу украински отбранителни активи.
„Групата Turla е настойчив противник с дълга история на дейност. Произходът, тактиката и целите им показват, че става дума за добре финансирана операция с висококвалифицирани оперативни работници“, разкрива Trend Micro в неотдавнашен доклад. „Turla непрекъснато развива своите инструменти и техники в продължение на години и вероятно ще продължи да ги усъвършенства.“
В доклад от миналия месец украинските агенции за киберсигурност също разкриха, че подкрепяни от Кремъл хакерски групи са се насочили към местни правоприлагащи органи, за да събират информация за украински разследвания на военни престъпления, извършени от руски войници.
„През 2023 г. най-активните групи бяха UAC-0010 (Gamaredon/FSB), UAC-0056 (GRU), UAC-0028 (APT28/GRU), UAC-0082 (Sandworm/GRU), UAC-0144 / UAC-0024 / UAC-0003 (Turla), UAC-0029 (APT29/ SVR), UAC-0109 (Zarya), UAC-0100, UAC-0106 (XakNet) [и] UAC-0107 (CyberArmyofRussia)“, заявиха от Държавната служба за специални комуникации и защита на информацията на Украйна (ДССИИ).
През първото полугодие на 2023 г. CERT-UA е регистрирала 27 „критични“ киберинцидента в сравнение със 144 през втората половина на 2022 г. и 319 през първата половина на 2022 г. Като цяло разрушителните кибератаки, засягащи операциите, са намалели от 518 на 267.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.