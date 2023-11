Il collettivo di cybercriminali russi ATP29, conosciuti anche sotto diversi nomi (UNC3524/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm), sta sfruttando la vulnerabilità CVE 2023-38831 in WinRAR per attacchi informatici, prendendo di mira le ambasciate straniere a Kiev. L’esca sarebbe la vendita di automobili BMW. La falla di sicurezza colpirebbe le versioni di WinRAR precedenti alla 6.23 e consente di creare archivi RAR e ZIP che possono essere eseguiti nel codice in background preparato dall'aggressore per scopi dannosi. La vulnerabilità è stata sfruttata come zero-day dallo scorso aprile.

Vulnerabilità WinRAR: prese di mira ambasciate di Azerbaigian, Grecia, Romania e Italia

In un recente report il Consiglio di sicurezza e difesa nazionale ucraino (NDSC) ha affermato che APT29 ha utilizzato un archivio ZIP dannoso che esegue uno script in background per mostrare un'esca PDF e per scaricare il codice PowerShell che scarica ed esegue un payload. L'archivio dannoso si chiamerebbe "DIPLOMATIC-CAR-FOR-SALE-BMW.pdf" e ha preso di mira diversi paesi del continente europeo, tra cui Azerbaigian, Grecia, Romania e Italia. Inoltre, NDSC afferma che gli hacker russi hanno utilizzato un dominio statico gratuito di Ngrok (nuova funzionalità annunciata 16 agosto) per accedere al server di comando e controllo (C2) ospitato sulla loro istanza di Ngrok. APT29 ha già utilizzato l'esca di phishing per gli annunci di automobili BMW per prendere di mira diplomatici in Ucraina durante una campagna dello scorso maggio, che forniva payload ISO attraverso la tecnica di smuggling HTML.

A differenza del passato, per i nuovi attacchi APT29 ha combinato la vecchia tattica di phishing con una nuova tecnica che consente la comunicazione con il server dannoso. L’implementazione della vulnerabilità WinRAR CVE-2023-38831 rivela infatti la loro adattabilità al panorama delle minacce in evoluzione. Inoltre, l’utilizzo dei servizi Ngrok per stabilire comunicazioni segrete sottolinea la loro determinazione a rimanere nascosti. NDSC consiglia infine alle organizzazioni internazionali di implementare rigorose pratiche di sicurezza informatica e di aggiornarsi sulle ultime vulnerabilità e di promuovere una cultura di consapevolezza della sicurezza per proteggersi da questo tipo minacce complesse e persistenti.