据观察,与俄罗斯有关的网络间谍组织 APT29 在最近的攻击中利用了 WinRAR 中的 CVE-2023-38831 漏洞。
乌克兰国家安全与国防委员会 (NDSC) 报告称,APT29(又名 SVR 组织、 Cozy Bear、 Nobelium、 Midnight Blizzard和 The Dukes)在最近的攻击中一直在利用WinRAR 中的CVE-2023-38831漏洞。
APT29和 APT28 网络间谍组织参与了 民主党全国委员会黑客攻击以及针对2016年美国总统选举 的攻击浪潮 。
据观察,与俄罗斯相关的 APT 组织使用了特制的 ZIP 存档,该存档在后台运行脚本以显示 PDF 诱饵,同时下载 PowerShell 代码以获取并执行有效负载。
APT 组织针对多个欧洲国家,包括阿塞拜疆、希腊、罗马尼亚和意大利,主要目标是渗透大使馆实体。
威胁行为者使用了一份诱饵文件(“DIPLOMATIC-CAR-FOR-SALE-BMW.pdf”),其中包含可供出售给外交实体的宝马汽车的图像。武器化文档嵌入了利用 WinRAR 漏洞的恶意内容。
“在这次特定攻击的背景下,会执行一个脚本,生成一个以待售宝马汽车为主题的 PDF 文件。同时,在后台,从下一阶段有效负载服务器下载并执行 PowerShell 脚本。” 阅读NDSC 发布的报告。“值得注意的是,攻击者引入了一种与恶意服务器通信的新技术,使用 Ngrok 免费静态域来访问托管在 Ngrok 实例上的服务器。”
在这个攻击方案中,Ngrok 被用来托管他们的下一代 PowerShell 有效负载并建立隐蔽的通信通道。
威胁行为者使用该工具来混淆与受感染系统的通信并逃避检测。
“这次活动特别值得注意的是新旧技术的结合。APT29继续采用宝马汽车待售的诱惑主题,这种策略在过去就已经出现过。然而,CVE-2023-38831 WinRAR 漏洞的部署是一种新颖的方法,揭示了它们对不断变化的威胁形势的适应性。此外,他们使用 Ngrok 服务建立秘密通信强调了他们保持隐蔽的决心。” NDSC 得出结论,还发布了这些攻击的危害指标 (IoC)。
今年 4 月,谷歌观察到与俄罗斯相关的 FROZENBARENTS APT(又名 SANDWORM)冒充乌克兰无人机培训学校来运送 Rhadamanthys 信息窃取者。
威胁行为者使用诱饵主题作为加入学校的邀请,该电子邮件包含指向匿名文件共享服务 fex[.]net 的链接。文件共享服务被用来提供良性诱饵 PDF 文档,其中包含无人机操作员培训课程和特制的 ZIP 存档(“Навчальна-програма-Оператори.zip”(培训计划操作员)),该文档利用了缺陷 CVE-2023-38831 。
9 月,CERT-UA 观察到 FROZENLAKE 组织利用 WinRAR 缺陷在针对能源基础设施的攻击中部署恶意软件。
Google TAG 专家还观察到与俄罗斯有关的 ATP28 组织利用该漏洞攻击乌克兰用户。国家资助的黑客利用恶意 PowerShell 脚本 (IRONJAW) 窃取浏览器登录数据和本地状态目录。
转自安全客,原文链接:https://www.anquanke.com/post/id/291429
封面来源于网络,如有侵权请联系删除