Hackernews 编译，转载请注明出处：

继Sandworm 和 APT28(俗称 Fancy Bear)之后，另一个由国家资助的俄罗斯黑客组织 APT29 正在利用WinRAR中的 CVE-2023-38831 漏洞进行网络攻击。

APT29 组织以不同的名称被追踪，包括：UNC3524/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke/SolarStorm，并以出售宝马汽车为诱饵瞄准大使馆。

CVE-2023-38831 安全漏洞影响 WinRAR 6.23 之前的版本，并允许制作 .rar 和 .zip 文件，这些文件可以在攻击者的后台代码中执行。

自4月以来，该漏洞已被攻击者作为零日漏洞利用，目标是加密货币和股票交易论坛。

在本周的一份报告中，乌克兰国家安全和国防委员会(NDSC)表示，APT29 一直在使用恶意 ZIP 存档，在后台运行脚本来显示 PDF 诱惑，并下载并执行有效载荷的 PowerShell 代码。

恶意档案名为“DIPLOMATIC-CAR-FOR-SALE-BMW.pdf”，目标是欧洲大陆的多个国家，包括阿塞拜疆、希腊、罗马尼亚和意大利。

来自 APT29 的宝马汽车广告带有 WinRAR 漏洞

APT29 曾在 5 月份的一次活动中使用宝马汽车和网络钓鱼诱饵来攻击乌克兰的外交官，该活动通过 HTML 走私技术提供 ISO 有效载荷。

乌克兰NDSC表示，在这些攻击中，APT29 将旧的网络钓鱼策略与一种新颖的技术相结合，以实现与恶意服务器的通信。他们使用 Ngrok 免费静态域(Ngrok 于 8 月 16 日宣布的新功能)访问托管在其 Ngrok 实例上的命令和控制服务器。

在这种策略中，他们利用 Ngrok 提供的免费静态域名来利用 Ngrok 的服务，通常以“Ngrok -free.app”下的子域名的形式。通过使用这种方法，攻击者设法隐藏他们的活动并与受损系统通信，而不会有被检测到的风险。

自从网络安全公司 Group-IB 的研究人员报告称，WinRAR 中的 CVE-2023-38831 漏洞被利用为零日漏洞后，高级威胁参与者开始将其纳入攻击中。

ESET的安全研究人员发现，今年8月，俄罗斯APT28黑客组织利用该漏洞发起了鱼叉式网络钓鱼活动，以欧洲议会议程为诱饵，针对欧盟和乌克兰的政治实体发起了攻击。

俄罗斯黑客利用 WinRAR 漏洞攻击欧盟和乌克兰的政治实体

乌克兰 NDSC 表示，观察到的来自 APT29 的活动之所以突出，是因为它混合了新旧技术，例如使用 WinRAR 漏洞来传递有效载荷和 Ngrok 服务来隐藏与 C2 的通信。

这份来自乌克兰机构的报告提供了一组入侵指标，包括 PowerShell 脚本和电子邮件文件的文件名和相应的哈希值，以及域名和电子邮件地址。

---

Hackernews 编译，转载请注明出处

消息来源：bleepingcomputer，译者：Serene