Търсене
Close this search box.

След Sandworm и APT28 (известна като Fancy Bear) друга спонсорирана от държавата руска хакерска група – APT29 – използва уязвимостта CVE-2023-38831 в WinRAR за кибератаки.

APT29 се проследява под различни имена (UNC3524,/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm) и се насочва към посолски структури с примамка за продажба на автомобили BMW.

Дефектът в сигурността CVE-2023-38831 засяга версиите на WinRAR преди 6.23 и позволява създаването на .RAR и .ZIP архиви, които могат да изпълняват във фонов режим код, подготвен от нападателя за злонамерени цели.

Уязвимостта е използвана като нулев ден от април насам от  заплахи, насочени към форуми за търговия с криптовалути и акции.

Ngrok статичен домейн за прикриване на комуникации

В доклад от тази седмица украинският Съвет за национална сигурност и отбрана (NDSC) казва, че APT29 е използвала злонамерен ZIP архив, който изпълнява скрипт във фонов режим, за да покаже PDF примамка и да изтегли PowerShell код, който изтегля и изпълнява полезен товар.

Зловредният архив се нарича “DIPLOMATIC-CAR-FOR-SALE-BMW.pdf” и е насочен към множество държави на европейския континент, включително Азербайджан, България, Гърция, Румъния и Италия.

APT29 и преди е използвала фишинг примамката за реклама на автомобили BMW, за да се насочи към дипломати в Украйна по време на кампания през май, която достави ISO полезен товар чрез техниката за контрабанда на HTML.

При тези атаки украинската NDSC казва, че APT29 е комбинирала старата фишинг тактика с нова техника, за да осигури комуникация със злонамерения сървър.

NDSC казва, че руските хакери са използвали безплатен статичен домейн на Ngrok (нова функция на Ngrok, обявена на 16 август), за да получат достъп до сървъра за командване и управление (C2), хостван на тяхната инстанция на Ngrok.

“При тази гнусна тактика те използват услугите на Ngrok, като използват безплатни статични домейни, предоставени от Ngrok, обикновено под формата на поддомейн под “ngrok-free.app”. Тези поддомейни действат като дискретни и незабележими точки за среща за техните зловредни товари” – пишат от NDSC .

С помощта на този метод нападателите успяват да скрият дейността си и да комуникират с компрометирани системи, без да рискуват да бъдат открити.

След като изследователи от компанията за киберсигурност Group-IB съобщиха, че уязвимостта CVE-2023-38831 в WinRAR се използва като нулев ден, напредналите  заплахи започнаха да я включват в своите атаки.

Източник: e-security.bg

Подобни публикации

10 декември 2024

Ubisoft отстрани конфликти с Windows 11 24H2

Microsoft вече частично отмени блокирането на съвместимостта на акт...
10 декември 2024

Deloitte опроверга рансъмуер банда

Deloitte направи изявление в отговор на твърденията на група за ран...
9 декември 2024

QNAP поправя уязвимостите, експлоатирани в Pwn2Own

През уикенда тайванската компания QNAP Systems обяви кръпки за множ...
9 декември 2024

Производител на медицински изделия претърпя ата...

В понеделник компанията за медицинска апаратура Artivion оповести а...
9 декември 2024

ЕС отправя спешно запитване към TikTok

Европейският съюз съобщи в петък, че е изпратил на TikTok спешно ис...
9 декември 2024

QR кодовете заобикалят изолацията на браузъра

Mandiant е идентифицирала нов метод за заобикаляне на технологията ...
9 декември 2024

SonicWall поправя 6 уязвимости в Secure Access ...

В края на миналата седмица SonicWall обяви пачове за множество уязв...
Бъдете социални
Още по темата
03/12/2024

Прототипът на UEFI Bootkit ...

Откриването на прототип на UEFI bootkit,...
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
29/11/2024

Десетки недостатъци в индус...

Разкрити са близо две дузини уязвимости...
Последно добавени
10/12/2024

Ubisoft отстрани конфликти ...

Microsoft вече частично отмени блокирането на...
10/12/2024

Deloitte опроверга рансъмуе...

Deloitte направи изявление в отговор на...
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!