俄罗斯黑客利用 Ngrok 功能和 WinRAR 漏洞攻击大使馆

2023年11月20日20:55:34评论134 views字数 1633阅读5分26秒阅读模式

更多全球网络安全资讯尽在邑安全

继 Sandworm 和 APT28（称为 Fancy Bear）之后，另一个由国家资助的俄罗斯黑客组织 APT29 正在利用 WinRAR 中的 CVE-2023-38831 漏洞进行网络攻击。

APT29 以不同的名称（UNC3524、NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke、SolarStorm）进行追踪，并一直以宝马汽车销售为诱饵瞄准大使馆实体。

CVE-2023-38831 安全漏洞影响 WinRAR 6.23 之前的版本，并允许制作可在攻击者为恶意目的准备的后台代码中执行的 .RAR 和 .ZIP 存档。

自 4 月份以来，该漏洞已被针对加密货币和股票交易论坛的威胁行为者用作零日漏洞。

在本周的一份报告中，乌克兰国家安全与国防委员会 (NDSC) 表示，APT29 一直在使用恶意 ZIP 存档，该存档在后台运行脚本来显示 PDF 诱饵并下载 PowerShell 代码，以下载和执行有效负载。

该恶意档案名为“DIPLOMATIC-CAR-FOR-SALE-BMW.pdf”，针对欧洲大陆的多个国家，包括阿塞拜疆、希腊、罗马尼亚和意大利。

APT29在 5 月份的一次活动中曾使用 BMW 汽车广告网络钓鱼诱饵来针对乌克兰的外交官，该活动通过 HTML 走私技术传递 ISO 有效负载。

乌克兰 NDSC 表示，在这些攻击中，APT29 将旧的网络钓鱼策略与新技术相结合，以实现与恶意服务器的通信。

NDSC 表示，俄罗斯黑客使用 Ngrok 免费静态域（ Ngrok 于 8 月 16 日宣布的一项新功能）来访问其 Ngrok 实例上托管的命令和控制 (C2) 服务器。

“在这种邪恶的策略中，他们通过利用 Ngrok 提供的免费静态域来利用 Ngrok 的服务，通常以“ngrok-free.app”下的子域的形式。这些子域充当其恶意负载的离散且不显眼的交汇点” - 乌克兰国家安全与国防委员会

通过使用这种方法，攻击者成功地隐藏了他们的活动并与受感染的系统进行通信，而没有被检测到的风险。

自从网络安全公司 Group-IB 的研究人员报告 WinRAR 中的 CVE-2023-38831 漏洞被作为零日漏洞利用以来，高级威胁参与者开始将其纳入他们的攻击中。

ESET 的安全研究人员发现 8 月份的攻击归因于俄罗斯 APT28 黑客组织，该组织利用该漏洞进行鱼叉式网络钓鱼活动，以欧洲议会议程为诱饵，针对欧盟和乌克兰的政治实体。

谷歌十月份的一份报告指出，俄罗斯和中国国家黑客利用该安全问题窃取凭证和其他敏感数据，并在目标系统上建立持久性。

乌克兰 NDSC 表示，观察到的 APT29 活动之所以引人注目，是因为它混合了新旧技术，例如使用 WinRAR 漏洞传递有效负载和 Ngrok 服务来隐藏与 C2 的通信。

乌克兰机构的报告提供了一组妥协指标 (IoC)，其中包括 PowerShell 脚本的文件名和相应的哈希值以及电子邮件文件，以及域和电子邮件地址。

原文来自:bleepingcomputer.com

原文链接:https://www.bleepingcomputer.com/news/security/russian-hackers-use-ngrok-feature-and-winrar-exploit-to-attack-embassies/#google_vignette

欢迎收藏并分享朋友圈，让五邑人网络更安全

俄罗斯黑客利用 Ngrok 功能和 WinRAR 漏洞攻击大使馆

欢迎扫描关注我们，及时了解最新安全动态、学习最潮流的安全姿势！

GitHub MCP Server漏洞：通过MCP访问私有仓库