威胁情报信息分享|俄罗斯APT29针对大使馆利用Ngrok和WinRAR漏洞进行攻击

乌克兰安全研究人员揭露了一起重大的俄罗斯网络间谍活动，他们称这可能旨在收集有关阿塞拜疆军事战略的信息。

APT29（又名Cozy Bear、Nobelium等多个别名）是这次攻击的幕后黑手，乌克兰国家安全与防务委员会（NDSC）的一份新报告这样称。

该组织的攻击目标包括阿塞拜疆、希腊、罗马尼亚和意大利的大使馆，以及世界银行、欧洲委员会、欧洲理事会、世界卫生组织、联合国等国际机构。

NDSC表示：“这一事件的地缘政治影响深远。在若干可能的动机中，最明显的目的之一可能是俄罗斯外情局（SVR）收集有关阿塞拜疆战略活动的情报，特别是在阿塞拜疆入侵纳戈尔诺-卡拉巴赫之前。”

报告指出：“值得注意的是，被攻击的国家——阿塞拜疆、希腊、罗马尼亚和意大利——与阿塞拜疆保持重要的政治和经济联系。”

这次行动最初是通过一封钓鱼电子邮件开始的，诱饵是一辆外交车出售的信息。RAR附件中包含CVE-2023-3883漏洞，该漏洞使威胁行为者能够在.zip归档中插入与良性文件同名的恶意文件夹。

NDSC解释称：“在用户尝试打开无害文件的过程中，系统无意中处理了具有匹配名称的文件夹中隐藏的恶意内容，从而使任意代码得以执行。”

在这次攻击中，当用户点击钓鱼电子邮件中包含的RAR归档时，它将执行一个脚本来显示出售的汽车的PDF文件，同时下载并执行一个PowerShell脚本。威胁行为者显然使用Ngrok免费静态域名来访问托管在Ngrok实例上的恶意负载服务器。

报告指出：“通过这种方式利用Ngrok的功能，威胁行为者可以进一步复杂化网络安全工作，并保持隐蔽，使得防御和归因更加困难。”

这并非黑客首次利用CVE-2023-3883漏洞。8月份，俄罗斯Sednit APT组织（APT28）被观察到利用这一漏洞，这是在Group-IB首次通报这一当时的零日漏洞后不久。

原文始发于微信公众号（XDsecurity）：威胁情报信息分享|俄罗斯APT29针对大使馆利用Ngrok和WinRAR漏洞进行攻击