据观察，与俄罗斯有关的网络间谍组织 APT29 在最近的攻击中利用了 WinRAR 中的 CVE-2023-38831 漏洞。

乌克兰国家安全与国防委员会 (NDSC) 报告称，APT29（又名 SVR 组织、  Cozy Bear、  Nobelium、  Midnight Blizzard和 The Dukes）在最近的攻击中一直在利用WinRAR 中的CVE-2023-38831漏洞。

APT29和 APT28 网络间谍组织参与了 民主党全国委员会黑客攻击以及针对2016年美国总统选举 的攻击浪潮 。

据观察，与俄罗斯相关的 APT 组织使用了特制的 ZIP 存档，该存档在后台运行脚本以显示 PDF 诱饵，同时下载 PowerShell 代码以获取并执行有效负载。

APT 组织针对多个欧洲国家，包括阿塞拜疆、希腊、罗马尼亚和意大利，主要目标是渗透大使馆实体。

威胁行为者使用了一份诱饵文件（“DIPLOMATIC-CAR-FOR-SALE-BMW.pdf”），其中包含可供出售给外交实体的宝马汽车的图像。武器化文档嵌入了利用 WinRAR 漏洞的恶意内容。

“在这次特定攻击的背景下，会执行一个脚本，生成一个以待售宝马汽车为主题的 PDF 文件。同时，在后台，从下一阶段有效负载服务器下载并执行 PowerShell 脚本。” 阅读NDSC 发布的报告。“值得注意的是，攻击者引入了一种与恶意服务器通信的新技术，使用 Ngrok 免费静态域来访问托管在 Ngrok 实例上的服务器。”

在这个攻击方案中，Ngrok 被用来托管他们的下一代 PowerShell 有效负载并建立隐蔽的通信通道。

威胁行为者使用该工具来混淆与受感染系统的通信并逃避检测。

“这次活动特别值得注意的是新旧技术的结合。APT29继续采用宝马汽车待售的诱惑主题，这种策略在过去就已经出现过。然而，CVE-2023-38831 WinRAR 漏洞的部署是一种新颖的方法，揭示了它们对不断变化的威胁形势的适应性。此外，他们使用 Ngrok 服务建立秘密通信强调了他们保持隐蔽的决心。” NDSC 得出结论，还发布了这些攻击的危害指标 (IoC)。

今年 4 月，谷歌观察到与俄罗斯相关的 FROZENBARENTS  APT（又名 SANDWORM）冒充乌克兰无人机培训学校来运送 Rhadamanthys 信息窃取者。

威胁行为者使用诱饵主题作为加入学校的邀请，该电子邮件包含指向匿名文件共享服务 fex[.]net 的链接。文件共享服务被用来提供良性诱饵 PDF 文档，其中包含无人机操作员培训课程和特制的 ZIP 存档（“Навчальна-програма-Оператори.zip”（培训计划操作员）），该文档利用了缺陷 CVE-2023-38831 。

9 月，CERT-UA 观察到 FROZENLAKE 组织利用 WinRAR 缺陷在针对能源基础设施的攻击中部署恶意软件。

Google TAG 专家还观察到与俄罗斯有关的 ATP28 组织利用该漏洞攻击乌克兰用户。国家资助的黑客利用恶意 PowerShell 脚本 (IRONJAW) 窃取浏览器登录数据和本地状态目录。