Das IT-Sicherheitsunternehmen DuskRise hat über die Plattform Cluster25 mehrere Phishing-Attacken analysiert, die möglicherweise auf APT28 zurückzuführen sind. Bei APT28 handelt es sich um eine Cybergruppierung mit Bezügen zum russischen Staat. Die Angreifer nutzen dabei die Schwachstelle CVE-2023-38831 in WinRAR-Versionen, die älter als die Version 6.23 sind, aus.
Als Köder dient dabei ein PDF-Dokument, welches zuvor in ein WinRAR-Archiv gepackt wurde. Das Dokument enthält eine IoC-Liste mit Domainnamen und Hash-Werten diverser Malware, wie z.B. SmokeLoader, Nanocore RAT, Crimson RAT und AgentTesla.
Beim Öffnen des PDF-Dokuments wird ein BAT-Skript ausgeführt. Dieses Skript bewirkt, dass mehrere PowerShell-Befehle ausgeführt werden, darunter auch eine Reverse Shell. Durch die Reverse Shell erhalten die Angreifer Zugriff auf das Gerät des Opfers. Anschließend sammeln sie persönliche Daten, sowie Login-Informationen der Google Chrome- und Microsoft Edge-Browser. Diese Informationen werden dann über den Webservice webhook[.]site ausgeleitet.
DuskRise stellen auf ihrer Seite eine MITRE ATT&CK Matrix sowie IoCs zur Erkennung und Mitigation einer möglichen Kompromittierung zur Verfügung. Die Cyberabwehr des Landesamts für Verfassungsschutz Baden-Württemberg rät daher, anfällige WinRAR-Versionen zu patchen und die eigenen Systeme mittels der zur Verfügung gestellten IoCs zu überprüfen.