Търсене
Close this search box.

APT продължават да атакуват грешката WinRAR

Държавно спонсорирани групи от Русия и Китай продължават да използват уязвимостта WinRAR за отдалечено изпълнение на код (RCE) в непоправени системи, за да доставят зловреден софтуер на цели.

Изследователи от Групата за анализ на заплахите (TAG) на Google са проследили атаки през последните седмици, които използват CVE-2023-38831, за да доставят информационни похитители и злонамерен софтуер със задна врата, особено на организации в Украйна и Папуа Нова Гвинея. Дефектът е известна и поправена уязвимост в популярния инструмент за архивиране на файлове WinRAR на RarLab за Windows, но системите, които не са били актуализирани, остават уязвими.

„TAG наблюдава, че подкрепяни от правителството групи от редица държави използват уязвимостта на WinRAR като част от своите операции“, пише Кейт Морган от Google TAG в публикация в блога.

Според Google TAG подкрепяните от Русия групи за напреднали постоянни заплахи (APT) са основните извършители на последните атаки срещу WinRAR. На 6 септември Sandworm стартира кампания по електронна поща, представяйки се за украинско училище за обучение за борба с безпилотни летателни апарати, като използва като примамка покана за присъединяване към училището.

Известната APT28 (известна още като Frozenlake, Fancy Bear, Strontium или Sednit), друга подкрепяна от Русия група, също е използвала дефекта, за да достави зловреден софтуер, който е бил насочен към енергийната инфраструктура в Украйна чрез фишинг кампания, в която е използван документ-примамка, приканващ мишените към събитие, организирано от Razumkov Center, мозъчен тръст за обществени политики в Украйна.

Междувременно фишинг кампания от подкрепяната от Китай група IslandDreams (APT40) достави информационни стийлъри на потребители в Папуа Нова Гвинея.

RarLab издаде бета пач за проблема на 20 юли и актуализирана версия на WinRAR (версия 6.23) на 2 август, но много системи остават уязвими и по този начин са готови за експлоатация, отбелязва Морган. „След като уязвимостта е била закърпена, злонамерените групи ще продължат да разчитат на n-дневници и да използват бавните темпове на закърпване в своя полза“, пише тя.

Експлоатиране на грешката в WinRAR

През юли Group-IB откри CVE-2023-38831 – логическа уязвимост в WinRAR. Въпреки това APT групите вече използваха дефекта като бъг от нулев ден от април – включително един от подкрепяната от Русия група за заплахи Evilnum, която използваше заразени ZIP файлове, за да атакува търговци на криптовалути.

Потенциалът за използване на дефекта идва, когато разширяването на временния файл по време на обработката на архива се комбинира със странност в изпълнението на Windows ShellExecute при опит за отваряне на файл с разширение, съдържащо интервали, според Google TAG.

„Уязвимостта позволява на атакуващите да изпълняват произволен код, когато потребителят се опитва да прегледа доброкачествен файл (например обикновен PNG файл) в рамките на ZIP архив“, пише Morgan.

По-късно, само няколко часа след като Group-IB публикува публикацията си в блога, в която описва откриването и анализа на недостатъка, в публичните хранилища на GitHub се появиха доказателства за концептуални експлойти (PoCs) – включително фалшиви – и генератори на експлойти. Те подхраниха по-нататъшни и продължаващи атаки срещу уязвими системи.

Последни атаки срещу WinRAR

При атаката Sandworm съобщенията включваха връзка към анонимна услуга за споделяне на файлове, fex[.]net, която на свой ред доставяше доброкачествен примамлив PDF документ с учебна програма за обучение на оператори на дронове и злонамерен ZIP файл, експлоатиращ CVE-2023-38831. Полезният товар на файла беше Rhadamanthys, стоков информационен измамник, който може да екфилтрира, наред с други неща, пълномощни за браузъра и информация за сесията. Google TAG отбеляза, че използването на стоков зловреден софтуер не е типично за Sandworm.

Междувременно Google TAG наблюдава, че APT28 използва доставчик на безплатен хостинг, за да сервира първоначална страница, която пренасочва потребителите към сайт – макет, за да се извършат проверки на браузъра, а след това отново към друг етап, който да гарантира, че посетителят идва от IPv4 адрес в Украйна. На този етап потребителят ще бъде подканен да изтегли файл, съдържащ експлойт CVE-2023-38831.

В края на юли и началото на август изследователите са наблюдавали и атака на APT28, при която е пуснат PowerShell скриптът IronJaw, който краде данни за вход в браузъра и локални държавни директории. Векторът на атаката – който пуска BAT файл, който отваря примамлив PDF файл и създава обратна SSH обвивка към контролиран от нападателя IP адрес – е ново допълнение към инструментариума на APT, според Google TAG.

Google TAG свързва четвърта неотдавнашна атака с WinRAR с подкрепяната от Китай IslandDreams – която се проследява и като Bronze Mohawk, GreenCrash, Kryptonite Panda, Periscope и Mudcarp – чрез фишинг кампания в края на август, насочена към потребители в Папуа Нова Гвинея. Фишинг имейлите включваха Dropbox връзка към ZIP архив, съдържащ експлойт CVE-2023-38831 под формата на защитен с парола примамлив PDF файл и LNK файл, който водеше до следващ етап на полезен товар, известен като Islandstager.

Полезният товар Islandstager изпълнява и декодира няколко слоя shellcode, последният от които зарежда и изпълнява крайния полезен товар – BOXRAT, .NET backdoor, който използва Dropbox API като механизъм за управление и контрол.

Притеснителни закъснения при поправките

Google TAG включи индикатори за компрометиране (IOC) за различните сценарии на атака, за да помогне на потребителите да установят дали тяхната система е експлоатирана.

Междувременно потребителите на WinRAR се призовават да актуализират системите си, ако все още не са го направили, тъй като кампаниите още веднъж подчертават важността на навременното актуализиране – нещо, което все още изглежда е глобално предизвикателство за потребителите на софтуер, отбеляза Морган.

„Тези неотдавнашни кампании, използващи грешката на WinRAR, подчертават важността на пачове и това, че все още има какво да се направи, за да се улеснят потребителите в поддържането на сигурността и актуалността на техния софтуер“, пише тя.

Източник: DARKReading

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
Бъдете социални
Още по темата
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
15/04/2024

КНДР се възползва от 2 подт...

Този месец MITRE ще добави две...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!