🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 UBND Huyện Phú Hoà, tỉnh Phú Yên đã đăng ký tín nhiệm. 🔥                    🔥 UBND huyện Mường Chà đã đăng ký tín nhiệm. 🔥                    🔥 Github đã đăng ký tín nhiệm. 🔥                   
Đăng ký ngay

APT29 lợi dụng tính năng mới của Ngrok và khai thác WinRAR để tấn công đại sứ quán

21/11/2023

Sau Sandworm và APT28, nhóm hacker Nga APT29 đang lạm dụng lỗ hổng CVE-2023-38831 trong phần mềm WinRAR để thực hiện các cuộc tấn công mạng.

APT29 được theo dõi dưới nhiều tên khác nhau (UNC3524, NobleBaron, Dark Halo, NOBELIUM, Cozy Bear, CozyDuke, SolarStorm) và đã nhắm mục tiêu vào các tổ chức đại sứ bằng chiêu trò giả mạo bán xe BMW.

CVE-2023-38831 ảnh hưởng đến các phiên bản WinRAR trước 6.23 và cho phép tác nhân đe dọa tạo các tập nén .RAR và .ZIP có thể thực thi mã ở chế độ nền (background).

Lỗ hổng này đã bị khai thác như một zero-day từ tháng 4 bởi các đối tượng nhắm vào các diễn đàn giao dịch tiền điện tử và chứng khoán.

Lạm dụng tính năng mới của Ngrok

Trong một báo cáo gần đây, Hội đồng An ninh và Quốc phòng Quốc gia Ukraina (NDSC) cho biết APT29 đã sử dụng một tập tin nén ZIP độc hại để chạy một tập lệnh trong background được thiết kế để hiển thị một tệp PDF nhằm đánh lừa người dùng trong khi lén lút tải về mã PowerShell cho phép tải và thực thi các payload (tệp, phần mềm độc hại) bổ sung khác.

Tập tin nén độc hại được gọi là "DIPLOMATIC-CAR-FOR-SALE-BMW.pdf" và nhắm vào nhiều quốc gia trên lục địa châu Âu, bao gồm Azerbaijan, Hy Lạp, Romania và Ý.

APT29 đã sử dụng chiêu trò giả mạo quảng cáo xe BMW trước đó để nhắm vào các nhà ngoại giao ở Ukraine trong một chiến dịch vào tháng 5 nhằm lừa họ tải về các payload ISO thông qua kỹ thuật HTML smuggling.

Trong những cuộc tấn công này, APT29 đã kết hợp chiến thuật lừa đảo cũ với một kỹ thuật mới để tạo điều kiện cho việc giao tiếp với máy chủ điều khiển tấn công (C2).

NDSC Ukraina cho biết rằng hacker Nga đã sử dụng một tên miền tĩnh (static domain) miễn phí từ Ngrok (một tính năng mới được Ngrok công bố vào ngày 16 tháng 8) để truy cập máy chủ C2 được lưu trên máy chủ Ngrok của họ.

Bằng cách sử dụng phương pháp này, kẻ tấn công có thể che dấu hoạt động của chúng và giao tiếp với các máy bị nhiễm mã độc.

Kể từ khi các nhà nghiên cứu tại công ty bảo mật Group-IB báo cáo rằng lỗ hổng CVE-2023-38831 trong WinRAR đã bị khai thác như một zero-day, các nhóm đe dọa nâng cao đã bắt đầu lạm dụng nó trong các cuộc tấn công của họ.

Các nhà nghiên cứu tại ESET đã phát hiện các cuộc tấn công vào tháng 8 và cho rằng nhóm hacker Nga APT28 đã khai thác lỗ hổng trong một chiến dịch spearphishing nhắm vào các tổ chức chính trị ở EU và Ukraine.

Một báo cáo từ Google vào tháng 10 lưu ý rằng lỗ hổng bảo mật đã bị khai thác bởi các hacker Nga và Trung Quốc để đánh cắp thông tin xác thực và dữ liệu nhạy cảm khác, cũng như để thiết lập quyền truy cập lâu dài trên các hệ thống mục tiêu.

NDSC Ukraina cho biết rằng chiến dịch mới được phát hiện của APT29 nổi bật vì nó kết hợp cả kỹ thuật cũ và mới như việc lạm dụng lỗ hổng WinRAR để truyền tải các payload và lợi dụng dịch vụ Ngrok để che dấu kết nối với máy chủ C2.

Báo cáo từ cơ quan Ukraina cũng cung cấp các dấu hiệu xâm phạm (IoCs) liên quan đến cuộc tấn công, bao gồm tên tệp và các giá trị băm tương ứng cho các tập lệnh PowerShell và một tệp email, cũng như các tên miền và địa chỉ email đã được phát hiện.

Nguồn: bleepingcomputer.com.

scrolltop