After Sandworm and APT28 (aka Fancy Bear), another state-sponsored Russian hacker group, APT29, is exploiting the CVE-2023-38831 vulnerability in WinRAR for cyber attacks.
APT29 goes by different names (UNC3524,/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm) and targets embassy entities with a BMW car sales lure.
The security flaw CVE-2023-38831 affects WinRAR versions prior to 6.23 and allows the creation of .RAR and .ZIP files that can be executed in the background code prepared by the attacker for malicious purposes.
The vulnerability has been exploited as a zero-day since April by threat actors targeting cryptocurrency forums and exchanges.
Static Ngrok domain for cover ads
Σε μια αναφορά αυτή την εβδομάδα, το Συμβούλιο Εθνικής Ασφάλειας και Άμυνας της Ukraineς (NDSC) αναφέρει ότι το APT29 χρησιμοποιεί ένα κακόβουλο αρχείο ZIP που εκτελεί ένα σενάριο στο παρασκήνιο για να δείξει ένα δέλεαρ PDF και να κατεβάσει κώδικα PowerShell που κατεβάζει και εκτελεί ένα ωφέλιμο φορτίο.
The malicious file is called "DIPLOMATIC-CAR-FOR-SALE-BMW.pdf" and targeted several countries on the European continent, including Azerbaijan, Greece, Romania and Italy.
source: Ukrainian National Security and Defense Council
APT29 has used the BMW car ad lure in the past to target diplomats in Ukraine during a campaign in May that delivered ISO payloads via the HTML smuggling technique.
In these attacks, Ukraine's NDSC says APT29 combined the old phishing tactic with a new technique to allow communication with the malicious server.
Το NDSC λέει ότι οι Ρώσοι χάκερ χρησιμοποίησαν έναν ελεύθερο στατικό τομέα Ngrok (ένα νέο feature Ngrok announced on August 16) to access the command and control server (C2) hosted on their Ngrok instance.
“Σε αυτήν την άθλια τακτική, χρησιμοποιούν τις υπηρεσίες του Ngrok χρησιμοποιώντας δωρεάν στατικούς τομείς που παρέχονται από την Ngrok, συνήθως με τη μορφή ενός υποτομέα κάτω από το “ngrok-free.app.” Αυτοί οι υποτομείς λειτουργούν ως διακριτά και δυσδιάκριτα σημεία ραντεβού για τα κακόβουλα ωφέλιμα φορτία τους» – National Security and Defense Council of Ukraine
By using this method, attackers were able to hide their activity and communicate with compromised systems without running the risk of detection.
Ever since researchers at cybersecurity firm Group-IB reported that the CVE-2023-38831 vulnerability in WinRAR was exploited as a zero-day, advanced threat actors started incorporating it into their attacks.
Ερευνητές ασφαλείας στην ESET είδαν επιθέσεις τον Αύγουστο που αποδίδονταν στη ρωσική ομάδα χάκερ APT28 που εκμεταλλεύτηκε την ευπάθεια σε μια εκστρατεία ψαρέματος που στόχευε πολιτικές οντότητες στην EU και την Ουκρανία χρησιμοποιώντας την ατζέντα του Ευρωπαϊκού Κοινοβουλίου ως δέλεαρ.
source: ESET
Μια αναφορά από την Google τον Οκτώβριο σημειώνει ότι το ζήτημα ασφάλειας εκμεταλλεύτηκαν Ρώσοι και Κινέζοι κρατικοί χάκερ για να κλέψουν διαπιστευτήρια και άλλα ευαίσθητα δεδομένα, καθώς και για να επιβεβαιώσουν την persistence στα συστήματα-στόχους.
Ukraine's NDSC says the observed campaign by APT29 stands out because it combines old and new techniques, such as using the WinRAR vulnerability to deliver payloads and Ngrok services to hide communication with C2.
The report from the Ukrainian service provides a set of indicators of compromise (IoC) consisting of file names and corresponding hashes for PowerShell scripts and an email file, along with domains and email addresses.
VIA: bleedingcomputer.com
