Après Sandworm et APT28 (connu sous le nom de Fancy Bear), un autre groupe de hackers russe parrainé par l’État, APT29, exploite la vulnérabilité CVE-2023-38831 de WinRAR pour lancer des cyberattaques.
APT29 est suivi sous différents noms (UNC3524,/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm) et cible les entités des ambassades avec un leurre de vente de voitures BMW.
La faille de sécurité CVE-2023-38831 affecte les versions WinRAR antérieures à 6.23 et permet de créer des archives .RAR et .ZIP pouvant s’exécuter en arrière-plan du code préparé par l’attaquant à des fins malveillantes.
La vulnérabilité est exploitée comme un jour zéro depuis avril par des acteurs malveillants ciblant les forums de crypto-monnaie et de négociation d’actions.
Domaine statique Ngrok pour les communications de couverture
Dans un rapport publié cette semaine, le Conseil national de sécurité et de défense (NDSC) ukrainien affirme qu’APT29 a utilisé une archive ZIP malveillante qui exécute un script en arrière-plan pour afficher un leurre PDF et télécharger du code PowerShell qui télécharge et exécute une charge utile.
L’archive malveillante s’appelle « DIPLOMATIC-CAR-FOR-SALE-BMW.pdf » et ciblait plusieurs pays du continent européen, dont l’Azerbaïdjan, la Grèce, la Roumanie et l’Italie.
APT29 a déjà utilisé le leurre de phishing publicitaire pour les voitures BMW pour cibler des diplomates en Ukraine lors d’une campagne en mai qui a livré des charges utiles ISO via la technique de contrebande HTML.
Dans ces attaques, le NDSC ukrainien affirme qu’APT29 combinait l’ancienne tactique de phishing avec une nouvelle technique pour permettre la communication avec le serveur malveillant.
Le NDSC indique que les pirates russes ont utilisé un domaine statique gratuit Ngrok (une nouvelle fonctionnalité annoncée par Ngrok le 16 août) pour accéder au serveur de commande et de contrôle (C2) hébergé sur leur instance Ngrok.
« Dans cette tactique néfaste, ils utilisent les services de Ngrok en utilisant des domaines statiques gratuits fournis par Ngrok, généralement sous la forme d’un sous-domaine sous « ngrok-free.app ». Ces sous-domaines agissent comme des points de rendez-vous discrets et discrets pour leurs charges utiles malveillantes » – Conseil national de sécurité et de défense de l’Ukraine
En utilisant cette méthode, les attaquants ont réussi à cacher leur activité et à communiquer avec des systèmes compromis sans risquer d’être détectés.
Depuis que des chercheurs de la société de cybersécurité Group-IB ont signalé que la vulnérabilité CVE-2023-38831 dans WinRAR avait été exploitée comme un jour zéro, les auteurs de menaces avancées ont commencé à l’intégrer dans leurs attaques.
Les chercheurs en sécurité d’ESET ont repéré des attaques en août attribuées au groupe de hackers russe APT28 qui a exploité la vulnérabilité dans une campagne de spearphishing ciblant des entités politiques de l’UE et de l’Ukraine en utilisant l’agenda du Parlement européen comme leurre.
Un rapport de Google publié en octobre indique que le problème de sécurité a été exploité par des pirates informatiques russes et chinois pour voler des informations d’identification et d’autres données sensibles, ainsi que pour établir la persistance sur les systèmes cibles.
Le NDSC ukrainien affirme que la campagne observée depuis APT29 se démarque car elle mélange des techniques anciennes et nouvelles telles que l’utilisation de la vulnérabilité WinRAR pour fournir des charges utiles et des services Ngrok pour masquer la communication avec le C2.
Le rapport de l’agence ukrainienne fournit un ensemble d’indicateurs de compromission (IoC) composé de noms de fichiers et de hachages correspondants pour les scripts PowerShell et d’un fichier de courrier électronique, ainsi que de domaines et d’adresses électroniques.