نفوذ هکرهای روسیه از ویژگی ابزار Ngrok و بهره برداری از آسیبپذیری نرمافزار winrar برای حمله به سفارتخانهها استفاده میکنند.
پس از گروههای هکری Sandworm و APT28 یک گروه دیگر هکر روسی تحت حمایت دولت، APT29، از آسیبپذیری CVE-2023-38831 در WinRAR برای حملات سایبری استفاده میکند. APT29 با نامهای مختلف (UNC3524،/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke، SolarStorm) شناخته میشود و کارمندان سفارتخانه ها را با مهندسی اجتماعی و با فریب فروش خودرو BMW مورد هدف قرار می دهد. نقص امنیتی CVE-2023-38831 بر نسخههای WinRAR قبل از ۶٫۲۳ تأثیر میگذارد و امکان ایجاد آرشیوهای RAR و .ZIP را میدهد که میتواند کد مخرب در پس زمینه قرار داده و اقدام به دسترسی کند.
این آسیبپذیری از ماه آوریل به عنوان یک آسیبپذیری روز صفر ( Zero Day ) شناخته میشود که در قربانی های آن افرادی بودند که در بازارهای رمزارز دیجیتال مشغول به فعالیت بودند.
در گزارشی که شورای امنیت و دفاع ملی اوکراین (NDSC) منتشر کرده است عنوان شده است که گروه APT29 از یک فایل آرشیو Zip مخرب استفاده میکند و یک اسکریپت را در فایل PDF مخفی میکند زمان اجرا شدن فایل PDF کد پاورشل در پس زمینه سیستم قربانی اجرا میشود . آرشیو مخرب “DIPLOMATIC-CAR-FOR-SALE-BMW.pdf” نام دارد و چندین کشور در قاره اروپا از جمله آذربایجان، یونان، رومانی و ایتالیا را هدف قرار داده است.
روش حمله گروه APT 29 از طریق حملات فیشینگ مبنی بر فروش خودرو BMW و استفااده از تکنیک HTML smuggling می باشد. به گفته شورای امنیت و دفاع ملی اوکراین در این حملات، APT29 تاکتیک قدیمی فیشینگ را با یک تکنیک جدید ترکیب کرده تا ارتباط با سرور مخرب را فعال کند.
طبق گزارش NDSC هکرهای روسی از یک دامنه رایگان Ngrok برای ارتباط با سرور مرکز فرماندهی و کنترل C2 استفاده میکنند.از آنجایی که محققان شرکت امنیت سایبری Group-IB گزارش دادهاند که آسیب پذیری CVE-2023-38831 در برنامه WinRAR به عنوان آسیب پذیری روز صفر (Zero-Day) مورد سوء استفاده قرارگرفته است، عوامل پیشرفته تهدید شروع به استفاده از آن در حملات خود کردند. با استفاده از این روش، مهاجمان موفق شدند فعالیت خود را پنهان کرده و با سیستمهایی که در اختیار دارند بدون احتمال شناسایی ارتباطر براقرار کنند. محققان امنیتی در ESET در ماه اوت حملاتی را مشاهده کردند که به گروه هکر روسی APT28 نسبت داده شد که از این آسیبپذیری در فیشینگ هدفهمند یا spearphishing که نهادهای سیاسی در اتحادیه اروپا و اوکراین را با استفاده از دستور پارلمان اروپا فریب داده و به عنوان هدف درنظر میگیرند.گزارشی از گوگل در ماه اکتبر اشاره می کند که این مشکل امنیتی توسط هکرهای دولتی روسیه و چین برای سرقت اعتبارنامه ها و سایر داده های حساس و همچنین برای ایجاد پایداری در سیستم های هدف مورد سوء استفاده قرار گرفته است.
NDSC اوکراین میگوید که کمپین فیشینگ مشاهدهشده از APT29 متمایز است زیرا تکنیکهای قدیمی و جدید مانند استفاده از آسیبپذیری WinRAR برای تحویل بار و سرویسهای Ngrok را برای پنهان کردن ارتباط با C2 ترکیب میکند. گزارش آژانس اوکراین مجموعهای از IoCs های مختلفی را ارائه میکند که شامل نام فایلها و هشهای مربوط به اسکریپتهای PowerShell و یک فایل ایمیل، به همراه دامنهها و آدرسهای ایمیل است.
