Hackernews 编译，转载请注明出处： 继Sandworm 和 APT28(俗称 Fancy Bear)之后，另一个由国家资助的俄罗斯黑客组织 APT29 正在利用WinRAR中的 CVE-2023-38831 漏洞进行网络攻击。 APT29 组织以不同的名称被追踪，包括：UNC3524/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke/SolarStorm，并以出售宝马汽车为诱饵瞄准大使馆。 CVE-2023-38831 安全漏洞影响 WinRAR 6.23 之前的版本，并允许制作 .rar 和 .zip 文件，这些文件可以在攻击者的后台代码中执行。 自4月以来，该漏洞已被攻击者作为零日漏洞利用，目标是加密货币和股票交易论坛。 在本周的一份报告中，乌克兰国家安全和国防委员会(NDSC)表示，APT29 一直在使用恶意 ZIP 存档，在后台运行脚本来显示 PDF 诱惑，并下载并执行有效载荷的 PowerShell 代码。 恶意档案名为“DIPLOMATIC-CAR-FOR-SALE-BMW.pdf”，目标是欧洲大陆的多个国家，包括阿塞拜疆、希腊、罗马尼亚和意大利。 来自 APT29 的宝马汽车广告带有 WinRAR 漏洞 APT29 曾在 5 月份的一次活动中使用宝马汽车和网络钓鱼诱饵来攻击乌克兰的外交官，该活动通过 HTML 走私技术提供 ISO 有效载荷。 乌克兰NDSC表示，在这些攻击中，APT29 将旧的网络钓鱼策略与一种新颖的技术相结合，以实现与恶意服务器的通信。他们使用 Ngrok 免费静态域(Ngrok 于 8 月 16 日宣布的新功能)访问托管在其 Ngrok 实例上的命令和控制服务器。 在这种策略中，他们利用 Ngrok 提供的免费静态域名来利用 Ngrok 的服务，通常以“Ngrok -free.app”下的子域名的形式。通过使用这种方法，攻击者设法隐藏他们的活动并与受损系统通信，而不会有被检测到的风险。 自从网络安全公司 Group-IB 的研究人员报告称，WinRAR 中的 CVE-2023-38831 漏洞被利用为零日漏洞后，高级威胁参与者开始将其纳入攻击中。 ESET的安全研究人员发现，今年8月，俄罗斯APT28黑客组织利用该漏洞发起了鱼叉式网络钓鱼活动，以欧洲议会议程为诱饵，针对欧盟和乌克兰的政治实体发起了攻击。 俄罗斯黑客利用 WinRAR 漏洞攻击欧盟和乌克兰的政治实体 乌克兰 NDSC 表示，观察到的来自 APT29 的活动之所以突出，是因为它混合了新旧技术，例如使用 WinRAR 漏洞来传递有效载荷和 Ngrok 服务来隐藏与 C2 的通信。 这份来自乌克兰机构的报告提供了一组入侵指标，包括 PowerShell 脚本和电子邮件文件的文件名和相应的哈希值，以及域名和电子邮件地址。       Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

一个利用最近披露的 WinRAR 软件零日安全漏洞的黑客组织现已被归类为全新的高级持续威胁（APT）。 网络安全公司 NSFOCUS 将 DarkCasino 描述为一个 “出于经济动机 “的行为者，该威胁行为者于 2021 年首次曝光。 该公司在一份分析报告中说：DarkCasino是一个APT威胁行为体，具有很强的技术和学习能力，善于将各种流行的APT攻击技术整合到其攻击流程中。 APT组织DarkCasino发起的攻击非常频繁，显示其窃取网络财产的强烈愿望。 DarkCasino最近与CVE-2023-38831（CVSS评分：7.8）的零日利用有关，该安全漏洞可被武器化以传播恶意有效载荷。 2023 年 8 月，Group-IB 披露了将该漏洞武器化的真实攻击，至少自 2023 年 4 月以来，该攻击一直瞄准在线交易论坛，以交付名为 DarkMe 的最终有效载荷，这是一个 Visual Basic 木马，归属于 DarkCasino。 该恶意软件可以收集主机信息、截图、操作文件和 Windows 注册表、执行任意命令，并在被入侵主机上进行自我更新。 虽然DarkCasino之前被归类为EvilNum组织针对欧洲和亚洲在线赌博、加密货币和信贷平台策划的网络钓鱼活动，但NSFOCUS表示，通过对对手活动的持续跟踪，它已经排除了与已知威胁行为者的任何潜在联系。 目前尚不清楚该威胁行为者的确切出处。 早期，DarkCasino 主要在地中海周边国家和其他亚洲国家利用在线金融服务开展活动。 最近，随着网络钓鱼方式的改变，其攻击已波及全球加密货币用户，甚至包括韩国和越南等非英语亚洲国家。 最近几个月，多个威胁行为体加入了 CVE-2023-38831 漏洞利用的行列，包括 APT28、APT40、Dark Pink、Ghostwriter、Konni 和 Sandworm。 据观察，Ghostwriter 利用该漏洞的攻击链为 PicassoLoader 铺平了道路，PicassoLoader 是一种中间恶意软件，充当其他有效载荷的加载器。 APT组织DarkCasino带来的WinRAR漏洞CVE-2023-38831给2023年下半年的APT攻击形势带来了不确定性。很多APT组织利用这个漏洞的窗口期攻击政府等关键目标，希望绕过目标的防护系统，达到自己的目的。   转自Freebuf，原文链接：https://www.freebuf.com/news/384114.html 封面来源于网络，如有侵权请联系删除

据了解，俄罗斯“沙虫”黑客组织与对乌克兰国家网络的攻击有关。在该网络攻击中，WinRAR 被用来破坏政府设备上的数据。 在一份新的通报中，乌克兰政府计算机应急响应小组 (CERT-UA) 表示，俄罗斯黑客使用未受多因素身份验证保护的受损 VPN 帐户访问乌克兰国家网络中的关键系统。 一旦获得网络访问权，他们就会使用脚本来使用 WinRAR 归档程序擦除 Windows 和 Linux 机器上的文件。 在 Windows 上，Sandworm 使用的 BAT 脚本是“RoarBat”，它会在磁盘和特定目录中搜索文件类型，例如 doc、docx、rtf、txt、xls、xlsx、ppt、pptx、vsd、vsdx、pdf、png、jpeg、 jpg、zip、rar、7z、mp4、sql、php、vbk、vib、vrb、p7s、sys、dll、exe、bin 和 dat，并使用 WinRAR 程序将它们归档。 RoarBat 在所有驱动器上搜索指定的文件类型 (CERT-UA) 但是，当执行 WinRAR 时，攻击者会使用“-df”命令行选项，该选项会在文件存档时自动删除它们。当档案本身被删除，实际上删除了设备上的数据。 CERT-UA 表示 RoarBAT 是通过使用组策略创建并集中分发到 Windows 域上的设备的计划任务运行的。 定时任务集运行BAT脚本 （CERT-UA） 在 Linux 系统上，攻击者使用 Bash 脚本代替，该脚本使用“dd”实用程序用零字节覆盖目标文件类型，擦除其内容。由于这种数据替换，即使不是完全不可能，也不太可能使用 dd 工具恢复“清空”的文件。 由于“dd”命令和 WinRAR 都是合法程序，威胁行为者可能使用它们来绕过安全软件的检测。 CERT-UA 表示，该事件类似于 2023 年 1 月袭击乌克兰国家新闻机构“Ukrinform”的另一场破坏性攻击，同样归因于 Sandworm。 “恶意计划的实施方法、访问主体的 IP 地址以及使用 RoarBat 修改版本的事实证明与 Ukrinform 网络攻击的相似性，有关信息已在 Telegram 频道中发布” Cyber ArmyofRussia_Reborn 写道。 CERT-UA 建议该国所有关键组织减少攻击面、修补漏洞、禁用不需要的服务、限制对管理界面的访问并监控其网络流量和日志。 在这样的情况下，允许访问公司网络的 VPN 帐户应该受到多重身份验证的保护。       转自 E安全，原文链接：https://mp.weixin.qq.com/s/vdHnHLQASjIs_tBMTYPwSw 封面来源于网络，如有侵权请联系删除  

Bleeping Computer 网站披露，某些网络犯罪分子正试图在 WinRAR 自解压档案中添加恶意功能，这些档案包含无害的诱饵文件，使其能够在不触发目标系统上安全代理的情况下设置后门。 用 WinRAR 或 7-Zip 等压缩软件创建的自解压档案（SFX）本质上是包含归档数据的可执行文件，以及一个内置解压存根（解压数据的代码），对这些文件的访问可以有密码保护，以防止未经授权的访问。（SFX 文件目的是为了简化向没有提取软件包的用户分发存档数据的过程。） 使用7-Zip创建受密码保护的SFX （来源：CrowdStrike） 然而，网络安全公司 CrowdStrike 的研究人员在最近的一次事件响应调查中发现了 SFX 滥用。 野外发现 SFX 攻击 Crowdstrike 发现了一个网络犯罪分子使用窃取来的凭据滥用“utilman.exe”，将其设置为启动一个受密码保护的 SFX 文件，并且该文件之前已植入系统。 （Utilman 是一种可访问性应用程序，可以在用户登录之前执行，经常被黑客滥用以绕过系统身份验证。） 登录屏幕上的 utilman 工具 （来源：CrowdStrike） utilman.exe 触发的 SFX 文件不仅受密码保护，而且包含一个用作诱饵的空文本文件。SFX  文件的真正功能是滥用 WinRAR 的设置选项，以系统权限运行 PowerShell、Windows 命令提示符（cmd.exe）和任务管理器。 CrowdStrike 的研究人员仔细研究了其中的技术细节，发现攻击者在目标提取存档的文本文件后添加了多个命令来运行。虽然档案中没有恶意软件，但威胁攻击者在设置菜单下添加了创建 SFX 档案的命令，该档案可能成为“打开”目标系统的后门。 WinRAR SFX 设置中允许后门访问的命令 （来源：CrowdStrike） 如上图所示，注释显示在攻击者自定义 SFX 存档后，在提取过程中不会显示任何对话框和窗口。此外，威胁攻击者还添加了运行 PowerShell、命令提示符和任务管理器的指令。WinRAR 提供了一组高级 SFX 选项，允许添加一个可执行文件列表，以便在进程之前或之后自动运行，如果存在同名条目，还可以覆盖目标文件夹中的现有文件。 Crowdstrike 解释说因这个 SFX 档案可以从登录屏幕上运行，所以攻击者实际上有个持久后门，只要提供了正确的密码，就可以访问它来运行 PowerShell、Windows 命令提示符和具有NT AUTHORITY\SYSTEM 权限的任务管理器。 研究人员进一步强调，传统的反病毒软件很可能无法检测到这种类型的攻击，毕竟检测软件只在档案（通常也有密码保护）中寻找恶意软件，而不是 SFX 档案解压缩器存根的行为。 观察到的攻击链 （来源：CrowdStrike） Crowdstrike 声称，恶意的 SFX 文件不太可能被传统恶意软件解决方案捕获。在测试过程中，安全人员创建了一个自定义的 SFX 存档以提取后运行 PowerShell 时，Windows Defender 做出了反应，然而，仅仅只记录了一次这种反应，无法复制。 最后，研究人员建议用户应特别注意 SFX 档案，并使用适当的软件检查档案的内容。     转自 Freebuf，原文链接：https://www.freebuf.com/news/362553.html 封面来源于网络，如有侵权请联系删除