Търсене
Close this search box.

Проруски хакерски групи са използвали наскоро разкрита уязвимост в сигурността на програмата за архивиране WinRAR като част от фишинг кампания, предназначена за събиране на данни от компрометирани системи.

„Атаката включва използването на злонамерени архивни файлове, които използват наскоро откритата уязвимост, засягаща версиите на софтуера за компресиране WinRAR преди 6.23 и проследена като CVE-2023-38831“, се казва в доклад на Cluster25, публикуван миналата седмица.

Архивът съдържа заложен в капана PDF файл, който при щракване предизвиква изпълнение на Windows Batch скрипт, който стартира PowerShell команди за отваряне на обратна обвивка, която дава на нападателя отдалечен достъп до целевия хост.

Разгърнат е и PowerShell скрипт, който краде данни, включително идентификационни данни за вход, от браузърите Google Chrome и Microsoft Edge. Прихванатата информация се ексфилтрира чрез легитимна уеб услуга webhook[.]site.

CVE-2023-38831 се отнася до високосериозен недостатък в WinRAR, който позволява на атакуващите да изпълнят произволен код при опит за преглед на доброкачествен файл в архив ZIP. Констатациите на Group-IB от август 2023 г. разкриват, че грешката е била използвана като нулев ден от април 2023 г. насам в атаки, насочени към търговци.

Разработката идва в момент, когато Mandiant, собственост на Google, картографира „бързо развиващите се“ фишинг операции на рускaта APT29, насочени към дипломатически структури, на фона на повишено темпо и акцент върху Украйна през първата половина на 2023 г.

Съществените промени в инструментариума и похватите на APT29 „вероятно са предназначени да поддържат повишената честота и обхват на операциите и да затрудняват съдебния анализ“, заяви компанията, както и че тя е „използвала различни вериги за заразяване едновременно в различни операции“.

Някои от забележителните промени включват използването на компрометирани сайтове на WordPress за хостване на полезните товари на първия етап, както и допълнителни компоненти за замаскиране и антианализ.

AРT29, която също е свързана с експлоатация, насочена към облака, е един от многото клъстери на активност, произхождащи от Русия, които се спряха на Украйна след началото на войната миналата година.

През юли 2023 г. Екипът за реагиране при компютърни инциденти на Украйна (CERT-UA) замеси Turla в атаки, при които се използват зловредният софтуер Capibar и задната врата Kazuar за шпионски атаки срещу украински отбранителни активи.

„Групата Turla е настойчив противник с дълга история на дейност. Произходът, тактиката и целите им показват, че става дума за добре финансирана операция с висококвалифицирани оперативни работници“, разкрива Trend Micro в неотдавнашен доклад. „Turla непрекъснато развива своите инструменти и техники в продължение на години и вероятно ще продължи да ги усъвършенства.“

В доклад от миналия месец украинските агенции за киберсигурност също разкриха, че подкрепяни от Кремъл хакерски групи са се насочили към местни правоприлагащи органи, за да събират информация за украински разследвания на военни престъпления, извършени от руски войници.

„През 2023 г. най-активните групи бяха UAC-0010 (Gamaredon/FSB), UAC-0056 (GRU), UAC-0028 (APT28/GRU), UAC-0082 (Sandworm/GRU), UAC-0144 / UAC-0024 / UAC-0003 (Turla), UAC-0029 (APT29/ SVR), UAC-0109 (Zarya), UAC-0100, UAC-0106 (XakNet) [и] UAC-0107 (CyberArmyofRussia)“, заявиха от Държавната служба за специални комуникации и защита на информацията на Украйна (ДССИИ).

През първото полугодие на 2023 г. CERT-UA е регистрирала 27 „критични“ киберинцидента в сравнение със 144 през втората половина на 2022 г. и 319 през първата половина на 2022 г. Като цяло разрушителните кибератаки, засягащи операциите, са намалели от 518 на 267.

Източник: The Hacker News

Подобни публикации

9 декември 2024

QNAP поправя уязвимостите, експлоатирани в Pwn2Own

През уикенда тайванската компания QNAP Systems обяви кръпки за множ...
9 декември 2024

Производител на медицински изделия претърпя ата...

В понеделник компанията за медицинска апаратура Artivion оповести а...
9 декември 2024

ЕС отправя спешно запитване към TikTok

Европейският съюз съобщи в петък, че е изпратил на TikTok спешно ис...
9 декември 2024

QR кодовете заобикалят изолацията на браузъра

Mandiant е идентифицирала нов метод за заобикаляне на технологията ...
9 декември 2024

SonicWall поправя 6 уязвимости в Secure Access ...

В края на миналата седмица SonicWall обяви пачове за множество уязв...
8 декември 2024

Тексаски тийнейджър е арестуван за хакове на те...

Преследването на членовете на Scattered Spider, киберпрестъпната гр...
Бъдете социални
Още по темата
09/12/2024

ЕС отправя спешно запитване...

Европейският съюз съобщи в петък, че...
05/12/2024

Шпиониране на шпиони

Според изследване, публикувано в сряда от...
03/12/2024

Социален инженеринг и шпион...

  Група български граждани, обвинени в...
Последно добавени
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
09/12/2024

ЕС отправя спешно запитване...

Европейският съюз съобщи в петък, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!