ادعای حمله هکرهای روس به برخی سفارتخانه‌ها

به گزارش کارگروه بین‌الملل سایبربان؛ پس از «Sandworm» و «APT28» (معروف به Fancy Bear)، یک گروه دیگر هکر روسی تحت حمایت دولت، «APT29»، از آسیب‌پذیری «CVE-2023-38831» در «WinRAR»برای حملات سایبری استفاده می‌کند.

APT29 با نام‌های مختلف (UNC3524،/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke، SolarStorm) ردیابی می‌شود و نهادهای سفارت را با فریب فروش خودرو بی‌ام‌دبلیو هدف قرار داده است.

نقص امنیتی CVE-2023-38831 بر نسخه‌های WinRAR قبل از 6.23 تأثیر می‌گذارد و امکان ایجاد آرشیوهای RAR و .ZIP را می‌دهد که می‌توانند در کد پس‌زمینه تهیه‌شده توسط مهاجم برای اهداف مخرب اجرا شوند.

این آسیب‌پذیری از آوریل امسال به‌عنوان یک روز صفر به‌وسیله عوامل تهدیدی که تالارهای معاملاتی ارزهای دیجیتال و سهام را هدف قرار می‌دهند مورد سوءاستفاده قرار گرفته است.

دامنه استاتیک Ngrok 

شورای امنیت و دفاع ملی اوکراین (NDSC) در بیانیه‌ای ادعا کرد که APT29 از یک آرشیو زیپ مخرب استفاده می‌کند که یک اسکریپت را در پس‌زمینه اجرا می‌کند تا یک فریب پی‌دی‌اف را نشان دهد و کد «PowerShell» را دانلود کند که بارگیری را دانلود و اجرا می‌کند.

آرشیو مخرب «DIPLOMATIC-CAR-FOR-SALE-BMW.pdf» نام دارد و چندین کشور در قاره اروپا از جمله آذربایجان، یونان، رومانی و ایتالیا را هدف قرار داده است.

به گفته کارشناسان، APT29 قبلاً از فریب تبلیغات فیشینگ خودروی بی‌ام‌دبلیو برای هدف قرار دادن دیپلمات‌ها در اوکراین در ماه می استفاده کرده که محموله‌های ISO را از طریق تکنیک قاچاق HTML تحویل می‌داد.

در این حملات، شورای امنیت و دفاع ملی اوکراین اوکراین عنوان کرد که APT29 تاکتیک قدیمی فیشینگ را با یک تکنیک جدید ترکیب کرد تا ارتباط با سرور مخرب را فعال کند.

شورای امنیت و دفاع ملی اوکراین تصریح کرد که هکرهای روسی از یک دامنه استاتیک رایگان Ngrok (ویژگی جدیدی که Ngrok در 16 اوت امسال اعلام کرد) برای دسترسی به سرور فرماندهی و کنترل (C2) در نمونه Ngrok آنها استفاده کردند.

در این تاکتیک، هکرها از خدمات Ngrok با استفاده از دامنه‌های استاتیک رایگان ارائه شده با Ngrok، به طور معمول در قالب یک زیر دامنه طبق «ngrok-free.app» استفاده می‌کنند. این زیر دامنه‌ها به عنوان نقاط ملاقات گسسته و نامحسوس برای بارهای مخرب خود عمل می‌کنند. 

با استفاده از این روش، مهاجمان موفق شدند فعالیت خود را پنهان و با سیستم‌ها بدون خطر شناسایی ارتباط برقرار کنند.

از آنجایی که محققان شرکت امنیت سایبری «Group-IB» گزارش دادند که آسیب‌پذیری CVE-2023-38831 در WinRAR به عنوان یک روز صفر مورد سوء استفاده قرار گرفته است، عوامل تهدید پیشرفته شروع به استفاده از آن در حملات خود کردند.

محققان امنیتی در شرکت امنیت سایبری «ESET» در ماه اوت امسال حملاتی را مشاهده کردند که به گروه هکری روسی APT28 نسبت داده شد که از این آسیب‌پذیری در یک کمپین اسپیرفیشینگ (spearphishing) برای هدف قرار دادن نهادهای سیاسی در اتحادیه اروپا و اوکراین با استفاده از دستور کار پارلمان اروپا سوءاستفاده کرد.

گزارشی از گوگل در ماه اکتبر سال جاری نشان داد که این مشکل امنیتی توسط هکرهای دولتی روسیه و چین برای سرقت اعتبارنامه‌ها و سایر داده‌های حساس و همچنین برای ایجاد پایداری در سیستم‌های هدف مورد سوءاستفاده قرار گرفته است.

شورای امنیت و دفاع ملی اوکراین مدعی شد که کمپین مشاهده‌شده از APT29 متمایز است زیرا تکنیک‌های قدیمی و جدید مانند استفاده از آسیب‌پذیری WinRAR برای تحویل بار و سرویس‌های Ngrok را برای پنهان کردن ارتباط با سرور فرماندهی و کنترل ترکیب می‌کند.

گزارش آژانس اوکراینی مجموعه‌ای از شاخص‌های سازش (IoC) شامل نام فایل‌ها و هش‌های متناظر برای اسکریپت‌های PowerShell و یک فایل ایمیل، به همراه دامنه‌ها و آدرس‌های ایمیل را ارائه می‌کند.