Nakon Sandworma i APT28 (poznatog kao Fancy Bear), još jedna ruska hakerska grupa koju sponzorira država, APT29, koristi ranjivost CVE-2023-38831 u WinRAR-u za cyber napade.
APT29 se prati pod različitim imenima (UNC3524,/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm) i ciljao je veleposlanstava mamcem za prodaju automobila BMW.
Sigurnosni propust CVE-2023-38831 utječe na verzije WinRAR-a prije 6.23 i dopušta izradu .RAR i .ZIP arhiva koje se mogu izvršavati u pozadinskom kodu koji je pripremio napadač za zlonamjerne svrhe.
Ranjivost se od travnja iskorištava kao “zero day exploit” od strane aktera prijetnji koji ciljaju forume za kriptovalute i trgovanje dionicama.
U izvješću ovog tjedna, Ukrajinsko vijeće za nacionalnu sigurnost i obranu (NDSC) kaže da je APT29 koristio zlonamjernu ZIP arhivu koja pokreće skriptu u pozadini za prikaz PDF mamaca i za preuzimanje koda za PowerShell koji preuzima i izvršava zadatak.
Zlonamjerna arhiva nazvana je “DIPLOMATIC-CAR-FOR-SALE-BMW.pdf” i ciljala je više zemalja na europskom kontinentu, uključujući Azerbajdžan, Grčku, Rumunjsku i Italiju.
APT29 je prije koristio mamac za krađu identiteta BMW automobila za ciljanje diplomata u Ukrajini tijekom kampanje u svibnju koja je isporučivala ISO korisne podatke putem HTML tehnike krijumčarenja.
U ovim napadima, ukrajinski NDSC kaže da je APT29 kombinirao staru taktiku krađe identiteta s novom tehnikom kako bi omogućio komunikaciju sa zlonamjernim poslužiteljem.
NDSC kaže da su ruski hakeri koristili besplatnu statičku domenu Ngrok (nova značajka koju je Ngrok najavio 16. kolovoza) za pristup serveru za naredbu i kontrolu (C2) koji se nalazi na njihovoj instanci Ngrok.
Koristeći ovu metodu, napadači su uspjeli sakriti svoju aktivnost i komunicirati s kompromitiranim sustavima bez rizika da budu otkriveni.
Budući da su istraživači tvrtke za kibernetičku sigurnost Group-IB izvijestili da je ranjivost CVE-2023-38831 u WinRAR-u iskorištena kao zero-day, napredni akteri prijetnji počeli su je ugrađivati u svoje napade.
Sigurnosni istraživači u ESET-u uočili su napade u kolovozu koji se pripisuju ruskoj hakerskoj grupi APT28 koja je iskoristila ranjivost u kampanji lažnog predstavljanja koja je ciljala na političke subjekte u EU i Ukrajini koristeći dnevni red Europskog parlamenta kao mamac.
Izvješće Googlea iz listopada navodi da su ruski i kineski državni hakeri iskoristili sigurnosni problem za krađu vjerodajnica i drugih osjetljivih podataka, kao i za uspostavljanje postojanosti na ciljnim sustavima .
Ukrajinski NDSC kaže da se promatrana kampanja iz APT29 ističe jer miješa stare i nove tehnike kao što je korištenje ranjivosti WinRAR za isporuku korisnih podataka i Ngrok usluga za skrivanje komunikacije s C2.
