APT29, een door Rusland gesteunde hackgroep bekend als CozyBear, heeft zijn nieuwste cyberaanval gelanceerd, dit keer met behulp van een nep-BMW-advertentie die misbruik maakt van een WinRAR-kwetsbaarheid bekend als CVE-2023-38831. APT29 richt zich op spraakmakende personen om informatie over buitenlandse regeringen te verzamelen. Bij deze aanval richtte de groep zich op meerdere Europese ambassades met een gewijzigde versie van een aanval die ze eerder hadden gebruikt.
WinRAR is een populaire tool voor het archiveren van bestanden voor Windows waarmee gebruikers bestanden kunnen comprimeren en decomprimeren, waardoor het gemakkelijker wordt om grote bestanden via internet over te dragen. Onlangs ontdekten experts een kwetsbaarheid in WinRAR (CVE-2023-38831) waardoor aanvallers willekeurige code kunnen uitvoeren wanneer een gebruiker probeert een onschadelijk bestand in een ZIP-archief te bekijken. De exploit vindt plaats wanneer een onschadelijk bestand en een map in de zip dezelfde naam hebben. Wanneer u probeert toegang te krijgen tot het bestand, wordt de inhoud van de map (die mogelijk uitvoerbare inhoud bevat) verwerkt, wat tot het probleem leidt.
APT29 maakt misbruik van dit beveiligingslek en Ngrok om te communiceren met een command and control (C2)-server. Ngrok is een legitieme tool waarmee gebruikers lokale netwerkpoorten veilig met internet kunnen verbinden. Ondanks het beoogde gebruik kunnen de mogelijkheden van Ngrok echter worden gebruikt om netwerkbeveiligingen te omzeilen. Concreet kreeg APT29 toegang tot een C2-server door gebruik te maken van de gratis statische domeinen van Ngrok. Ze gebruikten het systeem van de klant om gratis statische domeinen te genereren, waardoor een blijvende en onopvallende link naar hun C2-server ontstond.
De Russische hackgroep APT29 maakt misbruik van de WinRAR-kwetsbaarheid en Ngrok-services met een nep-BMW-advertentie
Het aan Rusland gelinkte APT29 stuurde eerst phishing-e-mails met een nep-BMW-advertentie naar honderden werknemers in vele ambassades. De e-mail bevatte een zip-bestand met de naam “DIPLOMATIC-CAR-FOR-SALE-BMW.rar”, met een pdf met de naam “DIPLOMATIC-CAR-FOR-SALE-BMW.pdf.” Wanneer een gebruiker de kwaadaardige zip-map opent, wordt een script via de WinRAR-exploit uitgevoerd, die een PDF-afbeelding van een BMW-autoverkoopadvertentie weergeeft. Op de achtergrond voert de map shell-code uit om payloads te downloaden en uit te voeren. De groep gebruikt Ngrok-services om de informatie die de payload registreert terug te communiceren naar de bedreigingsactoren.
De combinatie van de relatief nieuwe WinRAR-kwetsbaarheid en eerder uitgebuite Ngrok-services biedt een unieke manier om twee verschillende technieken te gebruiken om een uitgebreide cyberaanval te lanceren. Door Rusland gesteunde hackgroepen hebben hun activiteit zien toenemen in tijden van geopolitieke spanningen. De getroffen landen waren Azerbeidzjan, Griekenland, Roemenië en Italië, dus we zullen zien of de spanningen in die regio’s binnenkort toenemen.
