Държавно спонсорирани групи от Русия и Китай продължават да използват уязвимостта WinRAR за отдалечено изпълнение на код (RCE) в непоправени системи, за да доставят зловреден софтуер на цели.
Изследователи от Групата за анализ на заплахите (TAG) на Google са проследили атаки през последните седмици, които използват CVE-2023-38831, за да доставят информационни похитители и злонамерен софтуер със задна врата, особено на организации в Украйна и Папуа Нова Гвинея. Дефектът е известна и поправена уязвимост в популярния инструмент за архивиране на файлове WinRAR на RarLab за Windows, но системите, които не са били актуализирани, остават уязвими.
„TAG наблюдава, че подкрепяни от правителството групи от редица държави използват уязвимостта на WinRAR като част от своите операции“, пише Кейт Морган от Google TAG в публикация в блога.
Според Google TAG подкрепяните от Русия групи за напреднали постоянни заплахи (APT) са основните извършители на последните атаки срещу WinRAR. На 6 септември Sandworm стартира кампания по електронна поща, представяйки се за украинско училище за обучение за борба с безпилотни летателни апарати, като използва като примамка покана за присъединяване към училището.
Известната APT28 (известна още като Frozenlake, Fancy Bear, Strontium или Sednit), друга подкрепяна от Русия група, също е използвала дефекта, за да достави зловреден софтуер, който е бил насочен към енергийната инфраструктура в Украйна чрез фишинг кампания, в която е използван документ-примамка, приканващ мишените към събитие, организирано от Razumkov Center, мозъчен тръст за обществени политики в Украйна.
Междувременно фишинг кампания от подкрепяната от Китай група IslandDreams (APT40) достави информационни стийлъри на потребители в Папуа Нова Гвинея.
RarLab издаде бета пач за проблема на 20 юли и актуализирана версия на WinRAR (версия 6.23) на 2 август, но много системи остават уязвими и по този начин са готови за експлоатация, отбелязва Морган. „След като уязвимостта е била закърпена, злонамерените групи ще продължат да разчитат на n-дневници и да използват бавните темпове на закърпване в своя полза“, пише тя.
През юли Group-IB откри CVE-2023-38831 – логическа уязвимост в WinRAR. Въпреки това APT групите вече използваха дефекта като бъг от нулев ден от април – включително един от подкрепяната от Русия група за заплахи Evilnum, която използваше заразени ZIP файлове, за да атакува търговци на криптовалути.
Потенциалът за използване на дефекта идва, когато разширяването на временния файл по време на обработката на архива се комбинира със странност в изпълнението на Windows ShellExecute при опит за отваряне на файл с разширение, съдържащо интервали, според Google TAG.
„Уязвимостта позволява на атакуващите да изпълняват произволен код, когато потребителят се опитва да прегледа доброкачествен файл (например обикновен PNG файл) в рамките на ZIP архив“, пише Morgan.
По-късно, само няколко часа след като Group-IB публикува публикацията си в блога, в която описва откриването и анализа на недостатъка, в публичните хранилища на GitHub се появиха доказателства за концептуални експлойти (PoCs) – включително фалшиви – и генератори на експлойти. Те подхраниха по-нататъшни и продължаващи атаки срещу уязвими системи.
При атаката Sandworm съобщенията включваха връзка към анонимна услуга за споделяне на файлове, fex[.]net, която на свой ред доставяше доброкачествен примамлив PDF документ с учебна програма за обучение на оператори на дронове и злонамерен ZIP файл, експлоатиращ CVE-2023-38831. Полезният товар на файла беше Rhadamanthys, стоков информационен измамник, който може да екфилтрира, наред с други неща, пълномощни за браузъра и информация за сесията. Google TAG отбеляза, че използването на стоков зловреден софтуер не е типично за Sandworm.
Междувременно Google TAG наблюдава, че APT28 използва доставчик на безплатен хостинг, за да сервира първоначална страница, която пренасочва потребителите към сайт – макет, за да се извършат проверки на браузъра, а след това отново към друг етап, който да гарантира, че посетителят идва от IPv4 адрес в Украйна. На този етап потребителят ще бъде подканен да изтегли файл, съдържащ експлойт CVE-2023-38831.
В края на юли и началото на август изследователите са наблюдавали и атака на APT28, при която е пуснат PowerShell скриптът IronJaw, който краде данни за вход в браузъра и локални държавни директории. Векторът на атаката – който пуска BAT файл, който отваря примамлив PDF файл и създава обратна SSH обвивка към контролиран от нападателя IP адрес – е ново допълнение към инструментариума на APT, според Google TAG.
Google TAG свързва четвърта неотдавнашна атака с WinRAR с подкрепяната от Китай IslandDreams – която се проследява и като Bronze Mohawk, GreenCrash, Kryptonite Panda, Periscope и Mudcarp – чрез фишинг кампания в края на август, насочена към потребители в Папуа Нова Гвинея. Фишинг имейлите включваха Dropbox връзка към ZIP архив, съдържащ експлойт CVE-2023-38831 под формата на защитен с парола примамлив PDF файл и LNK файл, който водеше до следващ етап на полезен товар, известен като Islandstager.
Полезният товар Islandstager изпълнява и декодира няколко слоя shellcode, последният от които зарежда и изпълнява крайния полезен товар – BOXRAT, .NET backdoor, който използва Dropbox API като механизъм за управление и контрол.
Google TAG включи индикатори за компрометиране (IOC) за различните сценарии на атака, за да помогне на потребителите да установят дали тяхната система е експлоатирана.
Междувременно потребителите на WinRAR се призовават да актуализират системите си, ако все още не са го направили, тъй като кампаниите още веднъж подчертават важността на навременното актуализиране – нещо, което все още изглежда е глобално предизвикателство за потребителите на софтуер, отбеляза Морган.
„Тези неотдавнашни кампании, използващи грешката на WinRAR, подчертават важността на пачове и това, че все още има какво да се направи, за да се улеснят потребителите в поддържането на сигурността и актуалността на техния софтуер“, пише тя.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.