De aan de Russische staat gelieerde hackersbende APT29 misbruikt de CVE-2023-38831-kwetsbaarheid in WinRAR 6.23 en oudere versies. Hiervoor wordt een gecombineerde tactiek van “old-school phishing en nieuwe verhulmogelijkheden” gebruikt. Dit geeft de Oekraïense National Security and Defense Council (NDSC) aan in een waarschuwing.
Het Oekraïense NDSC meldt dat de hackers van APT29 sinds oktober van dit jaar actief de WinRAR-kwetsbaarheid CVE-2023-38831 misbruiken voor aanvallen op Europese landen. Aanvallen met deze kwetsbaarheid deden zich onder meer voor in Azerbaijan, Griekenland, Roemenië en Italië en richtten zich daarbij speciaal op Oekraïense ambassades.
WinRAR-kwetsbaarheid
De gebruikte WinRAR-kwetsbaarheid maakt het mogelijk WinRAR- en ZIP-bestanden aan te maken die kwaadaardige payloads verspreiden. Via ‘old school’ phishing worden ontvangers verleid deze bestanden uit te pakken en te downloaden., bijvoorbeeld via in een e-mail meegestuurd pdf-bestand van een (BMW) autoreclame.
De kwaadaardige payload wordt geactiveerd door te klikken op een legitiem bestand als een PNG- of JPEG-afbeelding. Deze gemanipuleerde afbeelding zorgt voor het downloaden van PowerShell-code die vervolgens weer de kwaadaardige payload downloadt en uitvoert.
Combinatie met Ngrok-techniek
Naast de kwetsbaarheid in de WinRAR-code en het gebruik van meer traditionele phising-aanvallen, gebruiken de hackers ook een nieuwe techniek om het contact met de kwaadaardige server te verhullen. De Russische hackers gebruiken hiervoor een zogenoemd gratis ’Ngrok’ statisch domein voor toegang tot de C2-server die op hun Ngrok-instance wordt gehost.
Op deze manier kunnen zij dan hun activiteit en communicatie met getroffen systemen verhullen en zo zonder angst voor detectie hun kwaadaardige activiteiten uitvoeren.
Meer aanwijzingen exploits
Het Oekraïense NDSC is niet de eerste organisatie die het actieve misbruik van CVE-2023-38831 meldt. De kwetsbaarheid werd in april 2023 door Group-IB ontdekt. Sindsdien hebben bijvoorbeeld ESET en Google aangegeven dat (staats)hackers actief misbruik makten van deze zero-day.
Het Oekraïense NDSC heeft inmiddels een lijst met indicatoren als PowerShell-scripts en e-mailbijlagen gepubliceerd waarmee kan worden vastgesteld dat systemen actief via deze gecombineerde hack-aanval kunnen worden misbruikt.
Lees ook: WinRAR bevat ernstige kwetsbaarheid, patch beschikbaar
2 dagen geleden
