11月20日:ロシア・ウクライナ関連ニュース
ロシアハッカーAPT29、大使館狙う攻撃でWinRARエクスプロイトやNgrok新機能を悪用(CVE-2023-38831)
BleepingComputer – November 19, 2023
今年4月以降、ロシアのSandwormやAPT28、中国のAPT40を含む複数の脅威アクターによる悪用が報告されているWinRARの脆弱性CVE-2023-38831。この脆弱性が、ロシアの別の国家支援型ハッキンググループAPT29にも利用されているという。
関連記事:WinRarのゼロデイ、暗号/株式取引口座のハッキング目的で4月から悪用されていた:CVE-2023-38831
APT29はUNC3524、NOBELIUM、Cozy Bearといった名でも知られ、BMW車の販売の話題をルアーとして使い、アゼルバイジャン、ギリシャ、ルーマニア、イタリアなどを狙うフィッシング攻撃でCVE-2023-38831を悪用しているとされる。Ukrainian National Security and Defense Council(NDSC)の新たなレポートによれば、この攻撃では「DIPLOMATIC-CAR-FOR-SALE-BMW.pdf」と名付けられたRARアーカイブが標的へ配布されるという。一見無害なこのファイルにはCVE-2023-38831が利用されており、ファイルが開かれると、標的ユーザーはBMW車を宣伝する内容のPDFを目にすることになる。しかし同時に、バックグラウンドでは次段階のペイロードのC2サーバーからPowerShellスクリプトがダウンロードされ、実行される。またNDSCは、Ngrokの新機能である無料の静的ドメインが、Ngrokインスタンス上でホストされるC2サーバーへのアクセスに利用されていることにも言及している。
標的になったとされるのは、アゼルバイジャンの外務省のほか、イタリアの外務省、ギリシャとルーマニアの大使館、ギリシャの著名なISPであるOtenetなどで、アゼルバイジャンおよび同国と政治的にも経済的にも重要な関係を維持する国々が狙われている。これを踏まえてNDSCは、今回の攻撃キャンペーンの背後には、ロシア対外情報庁の「アゼルバイジャンの戦略的活動(特にナゴルノ・カラバフ侵攻)に関する情報を収集したい」という思惑があるかもしれないと指摘している。
なお、APT29によるBMW広告の使用自体は今年5月に始まっており、7月にはPalo Alto NetworkのUnit 42が詳細を報告していた。5月の攻撃では、ウクライナ国内の外交員を狙って悪意あるISOファイルペイロードが配布されていた。