Russia’s APT29 Targets Embassies With Ngrok and WinRAR Exploit
2023/11/20 InfoSecurity — ウクライナのセキュリティ研究者たちは、ロシアの大規模な新しいサイバースパイ・キャンペーンを明らかにした。このキャンペーンは、アゼルバイジャンの軍事戦略に関する情報を収集するために設計された可能性があると、彼らは主張している。ウクライナの NDSC (National Security and Defense Council) の新しい報告書によると、この攻撃の背後には APT29 がいたという。同グループは、Cozy Bear/Nobelium などの呼び名でも知られている。
このキャンペーンの標的となったのは、アゼルバイジャン/ギリシャ/ルーマニア/イタリアの大使館や、世界銀行/欧州委員会/欧州評議会/WHO/国連などの国際機関だ。
NDSC は、「地政学的な意味は深い。考えられるいくつかの動機の中で、ロシア調査庁の最も明白な目的の一つは、特にアゼルバイジャンのナゴルノ・カラバフ侵攻に向けた、戦略的活動に関する情報収集かもしれない。アゼルバイジャン/ギリシャ/ルーマニア/イタリアなどの、標的となった国々が、アゼルバイジャンと政治的/経済的に重要な関係を維持していることは注目に値する」と述べている。
このキャンペーンは、外交官用の車が売りに出されているという誘い文句を使った、スピアフィッシング・メールとして始まった。そこに添付されるファイルは、WinRAR の脆弱性 CVE-2023-38831 を悪用するものであり、この脅威アクターは .zip アーカイブ内の良性のファイルと同じ名前の、悪意のフォルダを挿入することが可能となる。
NDSC は、「ユーザーが無害なファイルを開こうとする過程で、システムは知らず知らずのうちに、同じ名前のフォルダ内に隠された悪意のコンテンツを処理し、任意のコードの実行を可能にしてしまう」と説明している。
この攻撃では、ユーザーがフィッシング・メールに含まれる RAR アーカイブをクリックすると、スクリプトが実行されて、”売り物” の車の PDF が表示されると同時に、PowerShell スクリプトがダウンロード/実行される。脅威アクターは、Ngrok インスタンス上でホストされている悪意のペイロード・サーバにアクセスするために、Ngrok の無料静的ドメインを使用しているようだ。
この HKUK のレポートは、「このように Ngrok の機能を悪用することで、脅威者はサイバー・セキュリティの取り組みをさらに複雑にし、レーダーを回避し、防御を困難にする」と述べている。
ハッカーによる CVE-2023-38831 の悪用は、今回が初めてのことではない。ロシアの Sednit APT グループ (APT28) が、当時はゼロデイ脆弱性だった CVE-2023-38831 を悪用していたことが確認されている。この脆弱性が、Group-IB により通知した直後の、8月にのことだった。
WinRAR の脆弱性 CVE-2023-38831 が、ロシアの APT29 に悪用されているとのことです。InfoSecurity の原文では、CVE-2023-3883 と紹介されていましたが、この CVE は Campcodes Beauty Salon Management System という製品にマップされているので、WinRAR の CVE-2023-38831 を指していると思って問題ないでしょう。
IoT OT Security News 
You must be logged in to post a comment.