俄罗斯黑客利用 Ngrok 功能和 WinRAR 漏洞攻击大使馆

admin 2023年11月20日20:55:34评论72 views字数 1633阅读5分26秒阅读模式

更多全球网络安全资讯尽在邑安全

俄罗斯黑客利用 Ngrok 功能和 WinRAR 漏洞攻击大使馆

继 Sandworm 和 APT28(称为 Fancy Bear)之后,另一个由国家资助的俄罗斯黑客组织 APT29 正在利用 WinRAR 中的 CVE-2023-38831 漏洞进行网络攻击。
APT29 以不同的名称(UNC3524、NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke、SolarStorm)进行追踪,并一直以宝马汽车销售为诱饵瞄准大使馆实体。
CVE-2023-38831 安全漏洞影响 WinRAR 6.23 之前的版本,并允许制作可在攻击者为恶意目的准备的后台代码中执行的 .RAR 和 .ZIP 存档。
自 4 月份以来,该漏洞已被  针对加密货币和股票交易论坛的威胁行为者用作零日漏洞。

用于覆盖通信的 Ngrok 静态域

在本周的一份报告中,乌克兰国家安全与国防委员会 (NDSC) 表示,APT29 一直在使用恶意 ZIP 存档,该存档在后台运行脚本来显示 PDF 诱饵并下载 PowerShell 代码,以下载和执行有效负载。
该恶意档案名为“DIPLOMATIC-CAR-FOR-SALE-BMW.pdf”,针对欧洲大陆的多个国家,包括阿塞拜疆、希腊、罗马尼亚和意大利。
俄罗斯黑客利用 Ngrok 功能和 WinRAR 漏洞攻击大使馆
俄罗斯 APT29 黑客在宝马汽车广告中为外交官使用 WinRAR 漏洞
来源:乌克兰国家安全与国防委员会
 APT29在 5 月份的一次活动中曾使用 BMW 汽车广告网络钓鱼诱饵来 针对乌克兰的外交官,该活动通过 HTML 走私技术传递 ISO 有效负载。
乌克兰 NDSC 表示,在这些攻击中,APT29 将旧的网络钓鱼策略与新技术相结合,以实现与恶意服务器的通信。
NDSC 表示,俄罗斯黑客使用 Ngrok 免费静态域(  Ngrok 于 8 月 16 日宣布的一项新功能)来访问其 Ngrok 实例上托管的命令和控制 (C2) 服务器。
“在这种邪恶的策略中,他们通过利用 Ngrok 提供的免费静态域来利用 Ngrok 的服务,通常以“ngrok-free.app”下的子域的形式。这些子域充当其恶意负载的离散且不显眼的交汇点” - 乌克兰国家安全与国防委员会
通过使用这种方法,攻击者成功地隐藏了他们的活动并与受感染的系统进行通信,而没有被检测到的风险。
自从网络安全公司 Group-IB 的研究人员报告 WinRAR 中的 CVE-2023-38831 漏洞被作为零日漏洞利用以来,高级威胁参与者开始将其纳入他们的攻击中。
ESET 的安全研究人员发现 8 月份的攻击归因于俄罗斯 APT28 黑客组织,该组织利用该漏洞进行鱼叉式网络钓鱼活动,以欧洲议会议程为诱饵,针对欧盟和乌克兰的政治实体。
俄罗斯黑客利用 Ngrok 功能和 WinRAR 漏洞攻击大使馆
利用 WinRAR 漏洞引诱俄罗斯 APT28 黑客瞄准政治实体
来源:ESET
谷歌十月份的一份 报告 指出,俄罗斯和中国国家黑客利用该安全问题窃取凭证和其他敏感数据,并在目标系统上建立持久性。
乌克兰 NDSC 表示,观察到的 APT29 活动之所以引人注目,是因为它混合了新旧技术,例如使用 WinRAR 漏洞传递有效负载和 Ngrok 服务来隐藏与 C2 的通信。
乌克兰机构的报告提供了一组妥协指标 (IoC),其中包括 PowerShell 脚本的文件名和相应的哈希值以及电子邮件文件,以及域和电子邮件地址。

原文来自:bleepingcomputer.com

原文链接:https://www.bleepingcomputer.com/news/security/russian-hackers-use-ngrok-feature-and-winrar-exploit-to-attack-embassies/#google_vignette

欢迎收藏并分享朋友圈,让五邑人网络更安全

俄罗斯黑客利用 Ngrok 功能和 WinRAR 漏洞攻击大使馆

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 


原文始发于微信公众号(邑安全):俄罗斯黑客利用 Ngrok 功能和 WinRAR 漏洞攻击大使馆

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月20日20:55:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   俄罗斯黑客利用 Ngrok 功能和 WinRAR 漏洞攻击大使馆https://cn-sec.com/archives/2222804.html

发表评论

匿名网友 填写信息