След Sandworm и APT28 (известна като Fancy Bear) друга спонсорирана от държавата руска хакерска група – APT29 – използва уязвимостта CVE-2023-38831 в WinRAR за кибератаки.
APT29 се проследява под различни имена (UNC3524,/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm) и се насочва към посолски структури с примамка за продажба на автомобили BMW.
Дефектът в сигурността CVE-2023-38831 засяга версиите на WinRAR преди 6.23 и позволява създаването на .RAR и .ZIP архиви, които могат да изпълняват във фонов режим код, подготвен от нападателя за злонамерени цели.
Уязвимостта е използвана като нулев ден от април насам от заплахи, насочени към форуми за търговия с криптовалути и акции.
В доклад от тази седмица украинският Съвет за национална сигурност и отбрана (NDSC) казва, че APT29 е използвала злонамерен ZIP архив, който изпълнява скрипт във фонов режим, за да покаже PDF примамка и да изтегли PowerShell код, който изтегля и изпълнява полезен товар.
Зловредният архив се нарича “DIPLOMATIC-CAR-FOR-SALE-BMW.pdf” и е насочен към множество държави на европейския континент, включително Азербайджан, България, Гърция, Румъния и Италия.
APT29 и преди е използвала фишинг примамката за реклама на автомобили BMW, за да се насочи към дипломати в Украйна по време на кампания през май, която достави ISO полезен товар чрез техниката за контрабанда на HTML.
При тези атаки украинската NDSC казва, че APT29 е комбинирала старата фишинг тактика с нова техника, за да осигури комуникация със злонамерения сървър.
NDSC казва, че руските хакери са използвали безплатен статичен домейн на Ngrok (нова функция на Ngrok, обявена на 16 август), за да получат достъп до сървъра за командване и управление (C2), хостван на тяхната инстанция на Ngrok.
“При тази гнусна тактика те използват услугите на Ngrok, като използват безплатни статични домейни, предоставени от Ngrok, обикновено под формата на поддомейн под “ngrok-free.app”. Тези поддомейни действат като дискретни и незабележими точки за среща за техните зловредни товари” – пишат от NDSC .
С помощта на този метод нападателите успяват да скрият дейността си и да комуникират с компрометирани системи, без да рискуват да бъдат открити.
След като изследователи от компанията за киберсигурност Group-IB съобщиха, че уязвимостта CVE-2023-38831 в WinRAR се използва като нулев ден, напредналите заплахи започнаха да я включват в своите атаки.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.