Русскоязычные хакерские группировки, известные под названиями Sandworm и Cozy Bear, которые также отслеживаются под обозначениями APT 28 и APT 29, были обвинены в использовании уязвимости WinRAR для проведения атак на различные иностранные посольства. Об этом недавно сообщило издание Bleeping Computer.
Эксперты по информационной безопасности уточнили, что уязвимость, имеющая идентификатор CVE-2023-38831, затрагивает версии архиватора WinRAR до 6.23. С помощью этой уязвимости злоумышленники могут создавать архивы .rar и .zip, которые способны выполнять код в фоновом режиме. Этот код предварительно подготавливается киберпреступниками для различных вредоносных целей.
В отчете, представленном на этой неделе, указывается, что хакерская группировка Sandworm использует вредоносные zip-архивы. Эти архивы в фоновом режиме запускают сценарий для отображения PDF-приманки пользователям и последующей загрузки PowerShell-кода, который скачивает и выполняет полезную нагрузку. Вредоносный архив распространяется под названием “Diplomacy Car Sale BMW.pdf”.
Эксперты по кибербезопасности уточняют, что атака нацелена на несколько европейских стран, включая Италию, Румынию, Грецию, Азербайджан и многие другие. Также отмечается, что хакерские группировки APT 28 и APT 29 нацелены на иностранные посольства и используют различные приманки для получения первоначального доступа к целевой инфраструктуре различных государственных учреждений.
Одной из таких приманок является фишинговая рассылка, связанная с продажей автомобилей марки BMW. Сотрудникам иностранных посольств отправляются фишинговые письма с прикрепленным архивом под названием “Diplomacy Car Sale BMW”.
В этом архиве якобы содержится информация об автомобилях BMW, которые могут быть приобретены дипломатами по демократичным ценам. Однако, если пользователи открывают этот архив и соответствующий PDF-файл, на их устройствах выполняется код PowerShell, который загружает и выполняет дополнительную вредоносную нагрузку.
