Целями этой атаки стали несколько европейских стран, включая Азербайджан, Грецию, Румынию и Италию, Грецию, Румынию и Италию, с основной целью проникновения в посольства.
APT29 использовала недавно обнаруженную уязвимость в WinRAR, идентифицированную как CVE-2023-38831, чтобы облегчить вторжение.
Cozy Bear (APT29) APT
Упорство APT29 в использовании темы продаваемых автомобилей BMW в качестве приманки для своих фишинговых атак, приобрели новое измерение после развертывания тематически названного RAR-архива "DIPLOMATIC-CAR-FOR-SALE-BMW.rar". Этот архив содержит недавно раскрытую и эксплуатируемую уязвимость CVE-2023-38831.
В контексте данной конкретной атаки выполняется скрипт, генерирующий PDF-файл содержащий заманчивую тему выставленного на продажу автомобиля BMW. Одновременно в фоновом режиме загружается сценарий PowerShell-скрипт загружается и выполняется с сервера полезной нагрузки следующего этапа.
Примечательно, что злоумышленники представили новую технику взаимодействия с вредоносным сервером, используя свободный статический домен Ngrok для доступа к своему серверу, размещенному на свой экземпляр Ngrok.
Indicators of Compromise
Domains
- d287-206-123-149-139.ngrok-free.app
URLs
- http://d287-206-123-149-139.ngrok-free.app/b125.ps1
Emails
MD5
- 2b9812a7793c3fe0f171456acd9edf02
- 3b641b7e68b671da6497d10f773dcf7c
- ff7d1fb202bac38345be8cf267fa6688
SHA1
- 37c619b18ba52956c249551587b955e7b2066b73
- 3da35178fb0b3a8ef51b78a07c719658a628d722
- 448047b975175cb9c1e8b36036324835a9e9943e
SHA256
- 5d6bfb8fd1102273ef489060219293f8da796d07e8b2872efbda55050512b71f
- eec902a61886198a8e48ac862fabeecd628f2fa4122b78a0d7d6ee5c256ae724
- f78ee3005ca9f0e78a9dd136fc69afe7c06d69d1fc6218bc9e7eb3adec045977