Az APT29 (UNC3524,/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm) kihasználja a CVE-2023-38831 sebezhetőséget a WinRAR programban, amely a a WinRAR 6.23 előtti verzióit érinti. Lehetővé teszi .RAR és .ZIP archívumok készítését, amelyek által a támadó rosszindulatú kódot futtathat a háttérben.
Az ukrán Nemzetbiztonsági és Védelmi Tanács (NDSC) által közzétett jelentés szerint az APT29 a nagykövetségeket egy BMW autóeladási csalival célozza meg. Rosszindulatú ZIP archívumot használt, amely egy PDF-et tartalmaz, amely megnyitás esetén letölt egy PowerShell kódot és végrehajt egy payload-ot. A file neve “DIPLOMATIC-CAR-FOR-SALE-BMW.pdf” volt, és több európai országot is megcéloztak vele, köztük Azerbajdzsánt, Görögországot, Romániát és Olaszországot.
Az APT29 egy májusi kampány során is használta a BMW autóhirdetéses phishing csalit, amely során HTML smuggling technikával juttatott el ISO payload-okat az áldozatokhoz. Az ukrán NDSC szerint az APT29 most megfigyelt kampánya kiemelkedik, mert régi és új technikákat kombinál, például a WinRAR sebezhetőség használatát payload-ok továbbításához, és a Ngrok szolgáltatásokat a C2-vel való kommunikáció elrejtéséhez. A hackerek a Ngrok ingyenes statikus domainjét használták, ezt a Ngrok augusztus 16-án be is jelentette.
Miután a Group-IB kiberbiztonsági cég kutatói bejelentették a tárgyalt zero-day sebezhetőséget, a fejlett fenyegetettségi szereplők elkezdték beépíteni azt támadásaikba.
Az ESET biztonsági kutatói augusztusban olyan, az orosz APT28 hackercsoportnak tulajdonított támadásokat észleltek, amelyek a sebezhetőséget egy spearphishing kampányban használtak ki. Ennek során az Európai Parlament napirendjét csalinak használva az EU és Ukrajna politikai szervezeteit célozta meg.
A Google októberi jelentése szerint a biztonsági hibát orosz és kínai állami hackerek is kihasználták a hitelesítő adatok és más érzékeny adatok ellopására, valamint a célrendszereken való fennmaradás biztosítására.
Az ukrán ügynökség jelentése egy sor indikátort (IoC) is tartalmaz, PowerShell scripteket és egy e-mail fájlnevet, a hozzájuk tartozó hash-eket, valamint tartományokat és e-mail címeket.
