Bleeping Computerは11月19日(米国時間)、「Russian hackers use Ngrok feature and WinRAR exploit to attack embassies」において、ロシアが支援しているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「APT29(別名:UNC3524、NobleBaron、SolarStorm)」が大使館を攻撃したと報じた。
これはウクライナ国家安全保障・国防会議(NSDC: National Security and Defense Council of Ukraine)が公開した資料「(PDF) APT29 ATTACKS EMBASSIES USING CVE-2023-38831」に基づいた報告となる。攻撃の主な標的は、アゼルバイジャン、ギリシャ、ルーマニア、イタリアを含むヨーロッパ諸国の大使館、国際機関、インターネットサービスプロバイダであり、その目的は外交文書の窃取にあるとみられている。
Bleeping Computerによると、この攻撃ではngrokが2023年8月16日に発表した無料の静的ドメインが悪用され、ngrokでホストされるコマンド&コントロール(C2: Command and Control)サーバへのアクセスが確認されたという(参考:「ngrok blog: Static domains for all ngrok users」)。ngrokはローカルネットワーク上のサービスにインターネットからアクセスできるようにするトンネリング/リバースプロキシツールであり、セキュリティソリューションの検出を回避する目的で悪用されることがある。
また、WinRARの脆弱性(CVE-2023-38831)も悪用され、BMWの広告をおとりにマルウェアを配布したとされる(参考:「WinRARに悪意のあるコード実行の脆弱性、ただちにアップデートを | TECH+(テックプラス)」)。
ウクライナ国家安全保障・国防会議はこの攻撃で悪用されたngrokにより、セキュリティソリューションの検出が回避され、攻撃者は気づかれることなく侵害したシステムと通信できると指摘している。また、WinRARの脆弱性はすでに修正されたバージョンがリリースされているにもかかわらず悪用が継続して観察されており、攻撃者に好まれているとしてWinRARの利用者に注意を促している。
また、APT29以外のロシアの脅威グループにおいても今回の攻撃と同様の手法が見られるため、企業や組織に対して堅牢なセキュリティ対策を真剣に講じる必要があると呼びかけている。ウクライナ国家安全保障・国防会議は公開した資料の中で、今回確認された攻撃に関するセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、必要に応じてセキュリティ対策の強化に活用することが望まれている。