APT29利用CVE-2023-38831攻击大使馆

此报告由乌克兰国家网络安全协调中心发布

在这份报告中，我们揭示了由 APT29 策划的一次复杂的网络攻击，这是一个与俄罗斯外国情报局(SVR)有关的持续性威胁组织。

这次攻击的目标覆盖了多个欧洲国家，包括阿塞拜疆、希腊、罗马尼亚和意大利，主要目标是渗透大使馆实体。

APT29 利用了 WinRAR 中新发现的一个漏洞，被标识为 CVE-2023-38831，以便于他们的入侵。

这份报告深入探讨了这些网络操作的复杂细节，揭示了攻击者的策略、技术和程序。APT29 巧妙地使用了看似无害的诱饵，以吸引人的宝马汽车销售照片和文件的形式，专业地制作以吸引毫无戒心的受害者。诱饵文件中隐藏了恶意内容，利用了 WinRAR 的漏洞，使攻击者能够访问被破坏的系统。

这场活动体现了网络威胁的不断演变性质和国家赞助的行动者对关键实体的持续努力。

本报告中的洞察旨在提高对外交使命和组织面临的复杂威胁环境的认识，最终促进对网络安全防御的积极主动的态度。

在 2023年9月 初，臭名昭著的 APT29，隶属于俄罗斯的 SVR，发起了一场大规模的网络攻击，目标广泛，包括大使馆、国际组织，甚至是互联网服务提供商。

他们的主要关注点在于外交账户，阿塞拜疆和意大利的外交部（MFA）承受了攻击的主要压力。此外，位于希腊和罗马尼亚的大使馆，以及一家知名希腊 ISP Otenet 的电子邮件账户，也在众多目标之中。受害者名单还包括了主要的国际组织，突显出这场活动的大胆和范围。

APT29 活动中被攻击的国际组织列表：

地缘政治影响深远。在几个可能的动机中，俄罗斯外交情报局（SVR）最明显的目标之一可能是收集有关阿塞拜疆战略活动的情报，尤其是在阿塞拜疆入侵纳戈尔诺-卡拉巴赫之前。

值得注意的是，被攻击的国家——阿塞拜疆、希腊、罗马尼亚和意大利——与阿塞拜疆保持着重要的政治和经济联系。在一个值得注意的发展中，阿塞拜疆最近与意大利达成了一项采购军用飞机的协议，这标志着与西方国家的一次罕见军火交易。

这种攻击方法涉及使用装备有诱人诱饵的网络钓鱼邮件，描绘宝马汽车销售，这是 APT29 在对基辅大使馆的攻击中曾经使用过的策略。这个活动包括超过 200 个目标电子邮件地址，突显了国际领域网络威胁的不断演变性质。

APT29 以宝马汽车销售主题的网络钓鱼邮件：

APT29 坚持使用 BMW 汽车销售主题作为其网络钓鱼攻击的诱饵，现在已经发展到一个新的层次，他们部署了一个主题命名的 RAR 存档，"DIPLOMATIC-CAR-FOR-SALE-BMW.rar"。这个存档包含了一个最近公开并可利用的漏洞，CVE-2023-38831。这个漏洞在 2023年4月 被揭示，源于对 ZIP 存档的处理不当，这些存档看似包含无害的文件，如标准的 .PDF 文档，以及共享相同名称的文件夹。

核心问题在于档案库，威胁行为者可以秘密地插入与之名称匹配的文件夹。当一个毫无戒心的用户试图访问其中一个良性文件时，ZIP 档案可能包含一个隐藏可执行内容的同名文件夹，通常承载着恶意软件或其他恶意代码。在用户努力打开无害文件的过程中，系统无意中处理了与之名称匹配的文件夹中隐藏的恶意内容，从而使得任意代码的执行成为可能。

在这次特定的攻击中，执行了一个脚本，生成了一个以宝马汽车销售为诱饵主题的 PDF 文件。同时，在后台，从下一阶段的有效载荷服务器下载并执行了一个 PowerShell 脚本。值得注意的是，攻击者引入了一种与恶意服务器通信的新技术，使用 Ngrok 免费静态域来访问他们在 Ngrok 实例上托管的服务器。

"外交车辆出售-BMW.pdf" 诱饵文件：

PowerShell 脚本部署 .pdf 诱饵并从 ngrok-free.app 下载下一阶段的有效载荷：

Ngrok，其核心，是一个设计用于通过被称为隧道的过程将本地网络端口安全地暴露给互联网的极其多功能且跨平台的工具。然而，在网络对手的背景下，Ngrok 已经扮演了不同的角色。对手已经开始利用 Ngrok 存储他们的下一阶段 PowerShell 负载，并建立隐秘的通信渠道，而不是用于合法目的。

在这种邪恶的策略中，他们利用 Ngrok 提供的免费静态域名服务，通常以 "ngrok-free.app" 下的子域名形式出现。这些子域名作为他们恶意载荷的隐蔽且不显眼的集结点。这种巧妙的改编使敌手能够掩盖他们的活动，并在规避检测的同时与受损系统进行通信。通过这种方式利用 Ngrok 的能力，威胁行动者可以进一步复杂化网络安全工作，并保持在雷达之下，使防御和归因更具挑战性。

一项关键的安全漏洞，被标识为 CVE-2023-38831，已在 RARLab 的 WinRAR 软件的早期版本中被发现，特别是在 6.23 版本之前发布的版本中。这个漏洞构成了重大威胁，因为它允许攻击者通过利用特制的 ZIP 存档来执行任意代码。

这个漏洞的根本原因在于错误处理包含看似无害的文件的 ZIP 归档文件，例如标准的 .PDF 文档，以及与之名称相同的文件夹。问题的关键在于，在这些归档文件中，恶意行为者可以插入与之名称相匹配的文件夹。当用户试图访问其中的一个无害文件时，ZIP 归档文件可能包含一个与之名称相同且包含可执行内容的文件夹，通常是恶意软件或其他恶意代码。在用户试图打开无害文件的过程中，系统无意中处理了同名文件夹中的恶意内容，导致了任意代码的执行。

利用 CVE-2023-38831 的 WinRAR 存档：

这个漏洞并非仅仅停留在理论层面；它在现实世界的事件中已被积极利用。这些攻击已被观察到在 2023年的4月 至 10月 之间发生。

攻击者利用这个漏洞制作恶意的 ZIP 档案，并通过各种渠道分发，如电子邮件附件或被攻击的网站。毫无戒心的用户打开这些看似无害的文件，可能在不知情的情况下触发恶意代码的执行，从而让攻击者能够访问受害者的系统，并可能导致一系列有害的后果，包括数据盗窃、系统妥协等。这个漏洞的 PoC 已经公开可用。

2023年8月，ESET 研究人员发现了另一场被归因于 Sednit APT 的鱼叉式网络钓鱼活动，该活动利用了 WinRAR 中的 CVE-2023-38831 漏洞。

Sednit 也被称为 APT28，是一个与俄罗斯军事情报机构 GRU 密切相关的威胁行动组。Sednit 的方法是使用围绕欧洲议会议程的诱饵电子邮件。这是一个精心计算的选择，因为该活动的主要目标是欧盟和乌克兰内的政治实体。

俄罗斯情报服务黑客组织利用 CVE-2023-38831 漏洞的趋势令人担忧，这表明其越来越受欢迎且越来越复杂。对于组织和安全专业人员来说，保持警惕并积极防御这些威胁变得越来越重要。对于 WinRAR 用户来说，将他们的软件更新到 6.23 或更高版本至关重要，这包括必要的安全补丁以减轻这个关键漏洞。此外，当打开来自未知来源或不受信任位置的文件时，要保持谨慎，这是防止此漏洞被潜在利用的额外防御层。网络安全意识和及时的软件更新对于维持对这类威胁的强大防御至关重要。

在这份全面的报告中，我们深入研究了由 APT29 策划的复杂行动，这是一个与俄罗斯情报机构有关的威胁组织。他们针对使馆的攻击，特别是在阿塞拜疆、希腊、罗马尼亚和意大利的攻击，展示了不断变化的威胁环境的严峻景象。

这些攻击背后最明显的地缘政治动机之一是寻求情报，特别是关于阿塞拜疆即将在纳戈尔诺-卡拉巴赫采取的行动。这是一个鲜明的提醒，网络间谍是国家手段的一种工具，其影响范围扩展到多样化的地区和行业。

使这次活动特别值得注意的是旧的和新的技术的综合。APT29 继续使用 BMW 汽车销售诱饵主题，这是过去已经看到的策略。然而，他们部署 CVE-2023-38831 WinRAR 漏洞的新颖方法，揭示了他们适应不断变化的威胁环境的能力。此外，他们使用 Ngrok 服务建立隐秘的通信，强调了他们保持隐蔽的决心。

此外，俄罗斯黑客团队中类似技术的普遍存在强调了组织必须认真对待强大的安全措施的重要性。实施严格的网络安全实践，及时了解最新的漏洞，并培养网络安全意识的文化，对于防御这些复杂且持久的威胁至关重要。

英文PDF地址：https://www.rnbo.gov.ua/files/2023_YEAR/CYBERCENTER/november/APT29%20attacks%20Embassies%20using%20CVE-2023-38831%20-%20report%20en.pdf

关注公众号后台回复 0001 领取域渗透思维导图，0002 领取VMware 17永久激活码，0003 获取SGK地址，0004 获取在线ChatGPT地址，0005 获取 Windows10渗透集成环境，0006 获取 CobaltStrike 4.9.1破解版

加我微信好友，邀请你进交流群

备用号，欢迎关注

原文始发于微信公众号（刨洞安全团队）：APT29利用CVE-2023-38831攻击大使馆