烏克蘭國家安全與國防委員會(NSDC)報告稱,其網路安全研究人員發現,俄羅斯背景的駭客最近在利用WinRAR的一個漏洞針對大使館和國際組織進行網路間諜活動。
這些攻擊被歸咎於一個知名駭客組織APT29(別名UNC3524、NOBELIUM、Cozy Bear、SolarStorm等)。該組織被認為與俄羅斯外交情報局(SVR)有所聯絡。
烏克蘭國家網路安全協調中心(NCSCC)分析了起始於今年9月的這次活動。APT29在此前的行動中使用過類似的工具和戰術,例如今年4月針對基輔大使館的行動。最近的行動主要目標是滲透亞塞拜然、希臘、羅馬尼亞和義大利的大使館,以及世界銀行、歐洲委員會、歐洲理事會、世衛組織、聯合國等國際機構。
據瞭解,APT29在攻擊中利用了最近發現的Windows檔案壓縮工具WinRAR的一個漏洞(CVE-2023-38831),該漏洞允許攻擊者透過利用特製的ZIP存檔執行任意程式碼。這個漏洞已被修補,但那些未更新版本的使用者仍然面臨著風險。
在本案例中,攻擊者會向攻擊目標傳送一封釣魚郵件,聲稱有一輛外交車待售。CVE-2023-38831漏洞使攻擊者能夠在zip存檔中插入與良性檔案同名的惡意資料夾。當使用者點選釣魚郵件中的RAR附件時,它將執行一個指令碼來顯示一份待售汽車的PDF檔案,同時下載並執行一個PowerShell指令碼。
NDSC解釋說:“在使用者嘗試開啟無害檔案的過程中,系統無意中處理了與檔案同名的隱藏惡意內容的資料夾,從而導致任意程式碼執行。”
在這次攻擊活動中,攻擊者還引入了一種新的與惡意伺服器通訊的技術。他們使用了一個名為Ngrok的合法工具,Ngrok通常用於網站開發和測試,為本地Web伺服器提供臨時公共URL,但網路犯罪分子部署它來掩蓋他們的活動並與受損系統進行通訊,以規避檢測。
編輯:左右裡
資訊來源:bleepingcomputer、therecord
轉載請註明出處和本文連結