Řada státních hrozeb z Ruska a Číny byla pozorována, jak v rámci svých operací zneužívá nedávnou bezpečnostní chybu v archivačním nástroji WinRAR pro Windows.

Dotčená chyba zabezpečení je CVE-2023-38831 (CVSS skóre: 7,8), která umožňuje útočníkům spustit libovolný kód, když se uživatel pokusí zobrazit neškodný soubor v archivu ZIP. Nedostatek je aktivně využíván minimálně od dubna 2023.

Google Threat Analysis Group (TAG), která detekovala aktivity v posledních týdnech, je přiřadila třem různým klastrům, které sleduje pod geologickými přezdívkami FROZENBARENTS (aka Sandworm), FROZENLAKE (aka APT28) a ISLANDDREAMS (aka APT40).

Phishingový útok spojený se Sandworm se začátkem září vydával za ukrajinskou školu pro boj s drony a distribuoval škodlivý soubor ZIP využívající CVE-2023-38831 k doručení Rhadamanthys, malwaru pro krádeže komodit, který je nabízen k prodeji za 250 dolarů za měsíční předplatné.

APT28, také přidružený k Hlavnímu ředitelství Generálního štábu Ozbrojených sil Ruské federace (GRU), jako je tomu v případě Sandworm, údajně zahájil e-mailovou kampaň zaměřenou na vládní organizace na Ukrajině.

Při těchto útocích byli uživatelé z Ukrajiny vyzváni, aby si stáhli soubor obsahující exploit CVE-2023-38831 – návnadu dokumentu, který se maskoval jako pozvánka na událost od Razumkovova centra, veřejného politického think-tanku v zemi.

Výsledkem je spuštění skriptu PowerShell s názvem IRONJAW, který ukradne přihlašovací údaje prohlížeče a místní stavové adresáře a exportuje informace do infrastruktury řízené aktérem.

Třetím aktérem hrozby, který zneužil chybu WinRAR, je APT40, který rozpoutal phishingovou kampaň zaměřenou na Papuu-Novou Guineu, ve které e-mailové zprávy obsahovaly odkaz na Dropbox na archiv ZIP obsahující exploit CVE-2023-38831.

Infekční sekvence nakonec vydláždila cestu pro nasazení dropperu jménem ISLANDSTAGER, který je zodpovědný za načítání BOXRAT, backdoor .NET, který používá Dropbox API pro příkazy a ovládání.

Zveřejnění vychází z nedávných zjištění Cluster25, která podrobně popisuje útoky provedené hackerským týmem APT28 využívajícím chybu WinRAR k provádění operací získávání pověření.

Někteří z dalších státem podporovaných protivníků, kteří se zapojili do boje, jsou Konni (která se překrývá se severokorejským klastrem sledovaným jako Kimsuky) a Dark Pink (aka Saaiwc Group), podle zjištění týmu Knownsec 404 a NSFOCUS.

„Rozsáhlé využívání chyby WinRAR ukazuje, že zneužití známých zranitelností může být vysoce efektivní, přestože je k dispozici oprava,“ řekla výzkumnice TAG Kate Morgan. „Dokonce i ti nejsofistikovanější útočníci udělají jen to, co je nezbytné k dosažení jejich cílů.”

Zdroj: thehackernews.com

Obrázek: vecstock