俄羅斯駭客利用WinRAR漏洞針對大使館進行網路間諜行動

烏克蘭國家安全與國防委員會(NSDC)報告稱，其網路安全研究人員發現，俄羅斯背景的駭客最近在利用WinRAR的一個漏洞針對大使館和國際組織進行網路間諜活動。

這些攻擊被歸咎於一個知名駭客組織APT29（別名UNC3524、NOBELIUM、Cozy Bear、SolarStorm等）。該組織被認為與俄羅斯外交情報局（SVR）有所聯絡。

烏克蘭國家網路安全協調中心（NCSCC）分析了起始於今年9月的這次活動。APT29在此前的行動中使用過類似的工具和戰術，例如今年4月針對基輔大使館的行動。最近的行動主要目標是滲透亞塞拜然、希臘、羅馬尼亞和義大利的大使館，以及世界銀行、歐洲委員會、歐洲理事會、世衛組織、聯合國等國際機構。

據瞭解，APT29在攻擊中利用了最近發現的Windows檔案壓縮工具WinRAR的一個漏洞（CVE-2023-38831），該漏洞允許攻擊者透過利用特製的ZIP存檔執行任意程式碼。這個漏洞已被修補，但那些未更新版本的使用者仍然面臨著風險。

在本案例中，攻擊者會向攻擊目標傳送一封釣魚郵件，聲稱有一輛外交車待售。CVE-2023-38831漏洞使攻擊者能夠在zip存檔中插入與良性檔案同名的惡意資料夾。當使用者點選釣魚郵件中的RAR附件時，它將執行一個指令碼來顯示一份待售汽車的PDF檔案，同時下載並執行一個PowerShell指令碼。

NDSC解釋說：“在使用者嘗試開啟無害檔案的過程中，系統無意中處理了與檔案同名的隱藏惡意內容的資料夾，從而導致任意程式碼執行。”

在這次攻擊活動中，攻擊者還引入了一種新的與惡意伺服器通訊的技術。他們使用了一個名為Ngrok的合法工具，Ngrok通常用於網站開發和測試，為本地Web伺服器提供臨時公共URL，但網路犯罪分子部署它來掩蓋他們的活動並與受損系統進行通訊，以規避檢測。

編輯：左右裡

資訊來源：bleepingcomputer、therecord

轉載請註明出處和本文連結