Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial
Aree
magazine
About

Hacker russi attaccano le ambasciate sfruttando exploit WinRAR

Il gruppo di hacker russi ATP29 sta diffondendo attacchi informatici alle ambasciate a Kiev sfruttando una vulnerabilità di WinRAR.
Hacker russi attaccano le ambasciate sfruttando exploit WinRAR
Il gruppo di hacker russi ATP29 sta diffondendo attacchi informatici alle ambasciate a Kiev sfruttando una vulnerabilità di WinRAR.
Antonello Ciccarello
Pubblicato il 20 nov 2023
Link copiato negli appunti

Il collettivo di cybercriminali russi ATP29, conosciuti anche sotto diversi nomi (UNC3524/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm), sta sfruttando la vulnerabilità CVE 2023-38831 in WinRAR per attacchi informatici, prendendo di mira le ambasciate straniere a Kiev. L’esca sarebbe la vendita di automobili BMW. La falla di sicurezza colpirebbe le versioni di WinRAR precedenti alla 6.23 e consente di creare archivi RAR e ZIP che possono essere eseguiti nel codice in background preparato dall'aggressore per scopi dannosi. La vulnerabilità è stata  sfruttata come zero-day  dallo scorso aprile.

Vulnerabilità WinRAR: prese di mira ambasciate di Azerbaigian, Grecia, Romania e Italia

In un recente report il Consiglio di sicurezza e difesa nazionale ucraino (NDSC) ha affermato che APT29 ha utilizzato un archivio ZIP dannoso che esegue uno script in background per mostrare un'esca PDF e per scaricare il codice PowerShell che scarica ed esegue un payload. L'archivio dannoso si chiamerebbe "DIPLOMATIC-CAR-FOR-SALE-BMW.pdf" e ha preso di mira diversi paesi del continente europeo, tra cui Azerbaigian, Grecia, Romania e Italia. Inoltre, NDSC afferma che gli hacker russi hanno utilizzato un dominio statico gratuito di Ngrok (nuova funzionalità annunciata 16 agosto) per accedere al server di comando e controllo (C2) ospitato sulla loro istanza di Ngrok. APT29 ha già utilizzato l'esca di phishing per gli annunci di automobili BMW per prendere di mira diplomatici in Ucraina durante una campagna dello scorso maggio, che forniva payload ISO attraverso la tecnica di smuggling HTML.

A differenza del passato, per i nuovi attacchi APT29 ha combinato la vecchia tattica di phishing con una nuova tecnica che consente la comunicazione con il server dannoso. L’implementazione della vulnerabilità WinRAR CVE-2023-38831 rivela infatti la loro adattabilità al panorama delle minacce in evoluzione. Inoltre, l’utilizzo dei servizi Ngrok per stabilire comunicazioni segrete sottolinea la loro determinazione a rimanere nascosti. NDSC consiglia infine alle organizzazioni internazionali di implementare rigorose pratiche di sicurezza informatica e di aggiornarsi sulle ultime vulnerabilità e di promuovere una cultura di consapevolezza della sicurezza per proteggersi da questo tipo minacce complesse e persistenti.

Ti consigliamo anche

La migliore VPN è in offerta per il Black Friday: ecco la promo da attivare
VPN

La migliore VPN è in offerta per il Black Friday: ecco la promo da attivare
Come vedere la replica della 5° Live di X Factor 2024 in streaming dall'estero
VPN

Come vedere la replica della 5° Live di X Factor 2024 in streaming dall'estero
Stop al telemarketing: con questo servizio sarà solo un brutto ricordo
Antivirus

Stop al telemarketing: con questo servizio sarà solo un brutto ricordo
NordVPN accoglie il Black Friday con la migliore offerta dell'anno
VPN

NordVPN accoglie il Black Friday con la migliore offerta dell'anno