Автоловушка от APT29: фальшивая реклама BMW похищает данные из европейских посольств

Хакерское объединение APT29, также известное как CozyBear и Midnight Blizzard, недавно провело очередную вредоносную кампанию, в рамках которой использовала поддельную рекламу BMW, инструмент Ngrok, а также уязвимость в архиваторе WinRAR, известную как CVE-2023-38831 .

APT29 нацелена на сбор разведданных у высокопоставленных лиц для получения информации об иностранных правительствах. Подобные зловредные операции, эксплуатирующие фальшивую рекламу BMW, ранее уже фиксировались за данной группировкой исследователями Unit 42 и Mandiant , однако в этот раз методы атаки существенно отличались.

Недавно выявленная в WinRAR уязвимость CVE-2023-38831 позволяет злоумышленникам выполнять произвольный код, когда пользователь пытается просмотреть безобидный файл в ZIP-архиве. Эксплуатация происходит, когда безвредный файл и папка внутри архива имеют одинаковое имя. При запуске файла из архива обрабатывается и содержимое папки (в которой может содержаться исполняемый контент), что и приводит к заражению целевого устройства.

APT29 также использует Ngrok для общения заражённого устройства с C2-сервером. Ngrok — это законный инструмент, позволяющий пользователям безопасно открывать порты локальной сети в интернете. Однако, несмотря на своё предназначение, возможности Ngrok могут быть использованы для обхода сетевых защит. В частности, APT29 использовала бесплатные статические домены Ngrok для организации постоянной и незаметной связи со своим C2-сервером.

Не последнюю роль в атаке сыграла поддельная реклама BMW, разосланная сотням сотрудников различных посольств. Фишинговые письма содержали архивный файл «DIPLOMATIC-CAR-FOR-SALE-BMW.rar», внутри которого находились PDF-файл и папка с таким же названием.

Когда пользователь открывал в архиве PDF-файл с «эксклюзивным предложением» автомобилей BMW, в фоне из папки с вредоносным содержимым запускался шелл-код для скачивания и выполнения полезной нагрузки. Сервисы Ngrok были использованы хакерами в том числе и для отправки собранной информации в своё хранилище.

Комбинация уязвимости WinRAR и сервисов Ngrok представляет собой уникальный способ использования двух разных техник для проведения комплексной атаки. По данным источников, пострадавшими от уловок APT29 странами стали Азербайджан, Греция, Румыния и Италия.

Эта атака ещё раз демонстрирует изощрённость и настойчивость хакерских APT-группировок. Используя комбинацию свежей уязвимости в популярном архиваторе и легального сервиса туннелирования трафика, злоумышленники смогли провести тщательно спланированную операцию по краже конфиденциальных данных из посольств ряда европейских стран.

Для защиты от подобных атак крайне важно своевременно устанавливать все обновления безопасности используемого ПО, а также проводить регулярное обучение персонала методам распознавания фишинговых писем и вредоносных вложений. Кроме того, необходим строгий контроль за использованием сторонних инструментов и сервисов в корпоративной инфраструктуре. Только комплексный подход к кибербезопасности способен обеспечить надёжную защиту от изощренных атак современных хакеров.