Le NDSC ukrainien rapporte que les pirates APT29 exploitent activement la vulnérabilité WinRAR CVE-2023-38831 pour des attaques contre les pays européens depuis octobre de cette année. Des attaques utilisant cette vulnérabilité ont eu lieu en Azerbaïdjan, en Grèce, en Roumanie et en Italie, pour n’en nommer que quelques-uns, ciblant explicitement les ambassades ukrainiennes.
Vulnérabilité WinRAR
La vulnérabilité WinRAR permet la production de WinRAR et ZIP. fichiers qui distribuent des charges utiles malveillantes. Grâce au phishing « à l’ancienne », les destinataires sont incités à décharger et à télécharger ces fichiers, par exemple au moyen d’un fichier PDF d’une publicité pour un véhicule (BMW) envoyé par e-mail.
La charge utile destructrice est activée. en cliquant sur un fichier authentique tel qu’une image PNG ou JPEG. Cette image manipulée déclenche le téléchargement de code PowerShell qui, à son tour, télécharge et exécute la charge utile nuisible.
Mélanger avec l’innovation Ngrok
En plus de la vulnérabilité du code WinRAR et de l’utilisation Dans le cadre d’attaques de phishing plus classiques, les pirates utilisent également une toute nouvelle technique pour camoufler le contact avec le serveur malveillant. Pour ce faire, les hackers russes utilisent un domaine statique dit complémentaire « Ngrok » pour accéder au serveur C2 hébergé sur leur instance Ngrok.
Dans cette méthode, ils peuvent alors camoufler leur activité et leur communication avec les personnes concernées. systèmes et mènent donc leurs activités destructrices sans crainte d’être détectés.
Plus d’indices utilisent
Le NDSC ukrainien n’est pas la première entreprise à signaler l’abus actif du CVE-2023-38831. . La vulnérabilité a été découverte par Group-IB en avril 2023. Depuis, par exemple, ESET et Google ont démontré que des pirates (d’État) exploitaient activement ce jour zéro.
Le NDSC ukrainien a en fait maintenant a publié une liste d’indicateurs, tels que les scripts PowerShell et les accessoires de messagerie, qui peuvent être utilisés pour identifier que les systèmes peuvent être activement abusés au moyen de cette attaque de piratage combinée.
Toute l’actualité en temps réel, est sur L’Entrepreneur
