Carding 4 Carders
Professional
Пророссийские хакерские группы использовали недавно обнаруженную уязвимость в утилите архивирования WinRAR в рамках фишинговой кампании, направленной на получение учетных данных из скомпрометированных систем.
"Атака включает в себя использование вредоносных архивных файлов, которые используют недавно обнаруженную уязвимость, влияющую на программное обеспечение для сжатия WinRAR версий до 6.23 и отслеживаемую как CVE-2023-38831", - говорится в отчете Cluster25, опубликованном на прошлой неделе.
Архив содержит заминированный PDF-файл, при нажатии на который запускается пакетный скрипт Windows, который запускает команды PowerShell для открытия обратной оболочки, предоставляющей злоумышленнику удаленный доступ к целевому хосту.
Также внедрен скрипт PowerShell, который крадет данные, включая учетные данные для входа, из браузеров Google Chrome и Microsoft Edge. Захваченная информация отфильтровывается через легитимный веб-сервис webhook[.]сайт.
CVE-2023-38831 относится к серьезной уязвимости в WinRAR, которая позволяет злоумышленникам выполнять произвольный код при попытке просмотреть безопасный файл в ZIP-архиве. Выводы Group-IB, сделанные в августе 2023 года, показали, что ошибка использовалась в качестве оружия нулевого дня с апреля 2023 года при атаках на трейдеров.
Это произошло после того, как компания Mandiant, принадлежащая Google, наметила "быстро развивающиеся" фишинговые операции российского национального государства APT29, нацеленные на дипломатические учреждения, на фоне ускорения темпов и акцента на Украину в первой половине 2023 года.
Существенные изменения в инструментах и технологиях APT29 "вероятно, предназначены для поддержки возросшей частоты и объема операций и затрудняют судебный анализ", - заявили в компании, и что они "использовали различные цепочки заражений одновременно в разных операциях".
Некоторые из заметных изменений включают использование скомпрометированных сайтов WordPress для размещения полезной нагрузки первого этапа, а также дополнительные компоненты обфускации и антианализа.
AT29, которая также была связана с использованием облачных технологий, является одним из многих кластеров активности, происходящих из России, которые выделили Украину после начала войны в начале прошлого года.
В июле 2023 года Команда реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) уличила компанию Turla в атаках с использованием вредоносного ПО Capibar и бэкдора Kazuar для шпионских атак на украинские оборонные активы.
"Группа Turla является постоянным противником с долгой историей деятельности. Их происхождение, тактика и цели - все это указывает на хорошо финансируемую операцию с высококвалифицированными оперативниками ", - раскрыла Trend Micro в недавнем отчете. "Turla годами непрерывно совершенствовала свои инструменты и методы и, вероятно, продолжит их совершенствовать".
Украинские агентства кибербезопасности в отчете, опубликованном в прошлом месяце, также показали, что поддерживаемые Кремлем злоумышленники нацеливались на местные правоохранительные органы для сбора информации об украинских расследованиях военных преступлений, совершенных российскими солдатами.
"В 2023 году наиболее активными группами были UAC-0010 (Гамаредон/ФСБ), UAC-0056 (ГРУ), UAC-0028 (APT28/GRU), UAC-0082 (Sandworm/GRU), UAC-0144 / UAC-0024 / UAC-0003 (Turla), UAC-0029 (APT29 / SVR), UAC- 0109 (Заря), UAC-0100, UAC-0106 (XakNet), [и] UAC-0107 (Киберармия России)", - заявили в Государственной службе специальной связи и защиты информации Украины (SSSCIP).
CERT-UA зафиксировал 27 "критических" киберинцидентов в первом полугодии 2023 года по сравнению со 144 во второй половине 2022 года и 319 в первой половине 2022 года. В общей сложности количество разрушительных кибератак, затрагивающих операции, сократилось с 518 до 267.
"Атака включает в себя использование вредоносных архивных файлов, которые используют недавно обнаруженную уязвимость, влияющую на программное обеспечение для сжатия WinRAR версий до 6.23 и отслеживаемую как CVE-2023-38831", - говорится в отчете Cluster25, опубликованном на прошлой неделе.
Архив содержит заминированный PDF-файл, при нажатии на который запускается пакетный скрипт Windows, который запускает команды PowerShell для открытия обратной оболочки, предоставляющей злоумышленнику удаленный доступ к целевому хосту.
Также внедрен скрипт PowerShell, который крадет данные, включая учетные данные для входа, из браузеров Google Chrome и Microsoft Edge. Захваченная информация отфильтровывается через легитимный веб-сервис webhook[.]сайт.
CVE-2023-38831 относится к серьезной уязвимости в WinRAR, которая позволяет злоумышленникам выполнять произвольный код при попытке просмотреть безопасный файл в ZIP-архиве. Выводы Group-IB, сделанные в августе 2023 года, показали, что ошибка использовалась в качестве оружия нулевого дня с апреля 2023 года при атаках на трейдеров.
Это произошло после того, как компания Mandiant, принадлежащая Google, наметила "быстро развивающиеся" фишинговые операции российского национального государства APT29, нацеленные на дипломатические учреждения, на фоне ускорения темпов и акцента на Украину в первой половине 2023 года.
Существенные изменения в инструментах и технологиях APT29 "вероятно, предназначены для поддержки возросшей частоты и объема операций и затрудняют судебный анализ", - заявили в компании, и что они "использовали различные цепочки заражений одновременно в разных операциях".
Некоторые из заметных изменений включают использование скомпрометированных сайтов WordPress для размещения полезной нагрузки первого этапа, а также дополнительные компоненты обфускации и антианализа.
AT29, которая также была связана с использованием облачных технологий, является одним из многих кластеров активности, происходящих из России, которые выделили Украину после начала войны в начале прошлого года.
В июле 2023 года Команда реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) уличила компанию Turla в атаках с использованием вредоносного ПО Capibar и бэкдора Kazuar для шпионских атак на украинские оборонные активы.
"Группа Turla является постоянным противником с долгой историей деятельности. Их происхождение, тактика и цели - все это указывает на хорошо финансируемую операцию с высококвалифицированными оперативниками ", - раскрыла Trend Micro в недавнем отчете. "Turla годами непрерывно совершенствовала свои инструменты и методы и, вероятно, продолжит их совершенствовать".
Украинские агентства кибербезопасности в отчете, опубликованном в прошлом месяце, также показали, что поддерживаемые Кремлем злоумышленники нацеливались на местные правоохранительные органы для сбора информации об украинских расследованиях военных преступлений, совершенных российскими солдатами.
"В 2023 году наиболее активными группами были UAC-0010 (Гамаредон/ФСБ), UAC-0056 (ГРУ), UAC-0028 (APT28/GRU), UAC-0082 (Sandworm/GRU), UAC-0144 / UAC-0024 / UAC-0003 (Turla), UAC-0029 (APT29 / SVR), UAC- 0109 (Заря), UAC-0100, UAC-0106 (XakNet), [и] UAC-0107 (Киберармия России)", - заявили в Государственной службе специальной связи и защиты информации Украины (SSSCIP).
CERT-UA зафиксировал 27 "критических" киберинцидентов в первом полугодии 2023 года по сравнению со 144 во второй половине 2022 года и 319 в первой половине 2022 года. В общей сложности количество разрушительных кибератак, затрагивающих операции, сократилось с 518 до 267.
