据外媒报道,疑似亲俄罗斯黑客组织利用了 WinRAR 归档实用程序中最近披露的安全漏洞,作为网络钓鱼活动的一部分,旨在从受感染的系统中获取凭据。
Cluster25在上周发布的一份报告中表示:“这次攻击涉及使用恶意存档文件,这些文件利用了最近发现的影响 WinRAR 压缩软件 6.23 版本之前版本的漏洞,该漏洞被追踪为 CVE-2023-38831。”
该存档包含一个诱杀 PDF 文件,单击该文件会导致执行 Windows 批处理脚本,该脚本启动 PowerShell 命令以打开反向 shell,使攻击者可以远程访问目标主机。
还部署了一个 PowerShell 脚本,该脚本可从 Google Chrome 和 Microsoft Edge 浏览器窃取数据,包括登录凭据。捕获的信息通过合法的 Web 服务 webhook[.] 站点泄露。
CVE-2023-38831 是指WinRAR 中的一个高严重性缺陷,该缺陷允许攻击者在尝试查看 ZIP 存档中的良性文件时执行任意代码。Group-IB 于 2023 年 8 月的调查结果披露,自 2023 年 4 月以来,该漏洞已被武器化为零日漏洞,用于针对交易者的攻击。
这一进展发生之际,谷歌旗下的 Mandiant绘制了俄罗斯民族国家攻击者 APT29针对外交实体的“快速发展”网络钓鱼活动的图表,其攻击节奏加快,并在 2023 年上半年重点关注乌克兰。
该公司表示,APT29 工具和间谍技术的重大变化“可能是为了支持增加的操作频率和范围并阻碍取证分析”,并且它“在不同的操作中同时使用了各种感染链”。
一些显着的变化包括使用受损的 WordPress 网站来托管第一阶段的有效负载以及额外的混淆和反分析组件。
AT29 也与以云为中心的利用有关,它是去年年初战争爆发后针对乌克兰发起的众多源自俄罗斯的活动集群之一。
2023 年 7 月,乌克兰计算机紧急响应小组 (CERT-UA)指控Turla 参与了部署 Capibar 恶意软件和 Kazuar 后门的攻击,对乌克兰防御资产进行间谍攻击。
趋势科技在最近的一份报告中披露:“Turla 组织是一个顽固的对手,有着悠久的活动历史。他们的起源、战术和目标都表明他们的行动资金充足,操作人员技术精湛。” “Turla 多年来不断开发其工具和技术,并且可能会继续完善它们。”
乌克兰网络安全机构在上个月的一份报告中还透露,克里姆林宫支持的威胁行为者以国内执法实体为目标,收集有关乌克兰对俄罗斯士兵犯下的战争罪进行调查的信息。
“2023年,最活跃的群体是UAC-0010(Gamaredon /FSB)、UAC-0056(GRU)、UAC-0028(APT28 /GRU)、UAC-0082(Sandworm / GRU)、UAC-0144/UAC-0024 / UAC-0003 (Turla)、UAC-0029 (APT29/SVR)、UAC-0109 ( Zarya )、UAC-0100、UAC-0106 ( XakNet )、[和] UAC-0107 ( CyberArmyofRussia ),”乌克兰特殊通信和信息保护(SSSCIP)表示。
CERT-UA 在 2023 年上半年记录了 27 起“严重”网络事件,而 2022 年下半年为 144 起,2022 年上半年为 319 起。总的来说,影响运营的破坏性网络攻击从 518 起下降到 267 起。
转自安全客,原文链接:https://www.anquanke.com/post/id/290800
封面来源于网络,如有侵权请联系删除