Russische Hacker nutzen Ngrok-Funktion und WinRAR-Exploit für Angriffe auf Botschaften

Die staatlich unterstützte russische Hackergruppe APT29, auch bekannt unter verschiedenen Namen wie UNC3524, NobleBaron, Dark Halo, NOBELIUM, Cozy Bear, CozyDuke, und SolarStorm, nutzt die CVE-2023-38831-Sicherheitslücke in WinRAR für Cyberangriffe auf Botschaften.

Schlagworte:

Russische Hacker nutzen Ngrok-Funktion und WinRAR-Exploit für Angriffe auf Botschaften

20. November 2023     Kategorie: IT & Sicherheit
russischer-hacker-angriff.jpg

Die Sicherheitslücke betrifft WinRAR-Versionen vor 6.23 und ermöglicht das Erstellen von .RAR und .ZIP-Archiven, die vom Angreifer vorbereiteten Hintergrundcode für bösartige Zwecke ausführen können. Die Gruppe hat die Schwachstelle seit April ausgenutzt und zielt dabei auf Kryptowährungs- und Aktienhandelsforen ab.

Ngrok-Statikdomain für verschleierte Kommunikation


In einem Bericht der Ukrainischen Nationalen Sicherheits- und Verteidigungsbehörde (NDSC) wird darauf hingewiesen, dass APT29 eine bösartige ZIP-Datei verwendet, die im Hintergrund einen Skript ausführt, um eine PDF-Attrappe anzuzeigen und Powershell-Code herunterzuladen, der ein Payload ausführt.

Die bösartige Datei trägt den Namen "DIPLOMATIC-CAR-FOR-SALE-BMW.pdf" und richtet sich an verschiedene Länder auf dem europäischen Kontinent, darunter Aserbaidschan, Griechenland, Rumänien und Italien.

APT29 hat zuvor bereits die BMW-Autoanzeigen-Phishing-Attrappen verwendet, um Diplomaten in der Ukraine zu erreichen. Dabei kombinierte die Gruppe alte Phishing-Taktiken mit einer neuartigen Technik, um die Kommunikation mit dem bösartigen Server zu ermöglichen.

Die ukrainische NDSC berichtet, dass die russischen Hacker eine Ngrok-Statikdomain (eine neue Funktion, die Ngrok am 16. August angekündigt hat) genutzt haben, um auf den von ihnen gehosteten Befehls- und Kontrollserver zuzugreifen.

Durch diese Methode gelang es den Angreifern, ihre Aktivitäten zu verbergen und mit kompromittierten Systemen zu kommunizieren, ohne entdeckt zu werden.

Auswirkungen und Gegenmaßnahmen


Seitdem Experten von der Cybersicherheitsfirma Group-IB berichtet haben, dass die CVE-2023-38831-Sicherheitslücke in WinRAR als Zero-Day ausgenutzt wurde, haben fortschrittliche Bedrohungsakteure begonnen, sie in ihre Angriffe zu integrieren. Die Sicherheitsforscher von ESET haben beispielsweise Angriffe im August beobachtet, die der russischen APT28-Hackergruppe zugeschrieben werden und die die Sicherheitslücke in einer Spearphishing-Kampagne ausnutzten, die politische Einrichtungen in der EU und der Ukraine mit der Tagesordnung des Europäischen Parlaments als Köder angriff.

Ein Bericht von Google im Oktober verdeutlicht, dass die Sicherheitslücke von russischen und chinesischen Staats-Hackern genutzt wurde, um Anmeldeinformationen und andere sensitive Daten zu stehlen sowie um Persistenz in Ziel-Systemen zu etablieren.

Die Beobachtungen der National Security and Defense Council of Ukraine (NDSC) verdeutlichen, dass die Kampagne von APT29 durch die Kombination von alten und neuen Techniken sowie den Einsatz der WinRAR-Schwachstelle zur Auslieferung von Payloads und Ngrok-Services zur Verschleierung der Kommunikation mit dem C2 auffällt.

Der Bericht der ukrainischen NDSC enthält eine Reihe von Kompromissindikatoren (IoCs), bestehend aus Dateinamen und entsprechenden Hashes für Powershell-Skripte und eine E-Mail-Datei, sowie Domains und E-Mail-Adressen.

Insgesamt ist das Eindringpotenzial der Angriffe, die diese Schwachstelle ausnutzen, enorm. Unternehmen und Organisationen müssen daher dringend ihre Systeme auf Schwachstellen überprüfen und ihre Sicherheitsmaßnahmen verstärken, um sich vor den Angriffen solcher hochentwickelten Bedrohungsakteure zu schützen.
 
+ Multi-Zitat Zitieren
Auf dieses Thema antworten