Търсене
Close this search box.

Държавно спонсорирани групи от Русия и Китай продължават да използват уязвимостта WinRAR за отдалечено изпълнение на код (RCE) в непоправени системи, за да доставят зловреден софтуер на цели.

Изследователи от Групата за анализ на заплахите (TAG) на Google са проследили атаки през последните седмици, които използват CVE-2023-38831, за да доставят информационни похитители и злонамерен софтуер със задна врата, особено на организации в Украйна и Папуа Нова Гвинея. Дефектът е известна и поправена уязвимост в популярния инструмент за архивиране на файлове WinRAR на RarLab за Windows, но системите, които не са били актуализирани, остават уязвими.

„TAG наблюдава, че подкрепяни от правителството групи от редица държави използват уязвимостта на WinRAR като част от своите операции“, пише Кейт Морган от Google TAG в публикация в блога.

Според Google TAG подкрепяните от Русия групи за напреднали постоянни заплахи (APT) са основните извършители на последните атаки срещу WinRAR. На 6 септември Sandworm стартира кампания по електронна поща, представяйки се за украинско училище за обучение за борба с безпилотни летателни апарати, като използва като примамка покана за присъединяване към училището.

Известната APT28 (известна още като Frozenlake, Fancy Bear, Strontium или Sednit), друга подкрепяна от Русия група, също е използвала дефекта, за да достави зловреден софтуер, който е бил насочен към енергийната инфраструктура в Украйна чрез фишинг кампания, в която е използван документ-примамка, приканващ мишените към събитие, организирано от Razumkov Center, мозъчен тръст за обществени политики в Украйна.

Междувременно фишинг кампания от подкрепяната от Китай група IslandDreams (APT40) достави информационни стийлъри на потребители в Папуа Нова Гвинея.

RarLab издаде бета пач за проблема на 20 юли и актуализирана версия на WinRAR (версия 6.23) на 2 август, но много системи остават уязвими и по този начин са готови за експлоатация, отбелязва Морган. „След като уязвимостта е била закърпена, злонамерените групи ще продължат да разчитат на n-дневници и да използват бавните темпове на закърпване в своя полза“, пише тя.

Експлоатиране на грешката в WinRAR

През юли Group-IB откри CVE-2023-38831 – логическа уязвимост в WinRAR. Въпреки това APT групите вече използваха дефекта като бъг от нулев ден от април – включително един от подкрепяната от Русия група за заплахи Evilnum, която използваше заразени ZIP файлове, за да атакува търговци на криптовалути.

Потенциалът за използване на дефекта идва, когато разширяването на временния файл по време на обработката на архива се комбинира със странност в изпълнението на Windows ShellExecute при опит за отваряне на файл с разширение, съдържащо интервали, според Google TAG.

„Уязвимостта позволява на атакуващите да изпълняват произволен код, когато потребителят се опитва да прегледа доброкачествен файл (например обикновен PNG файл) в рамките на ZIP архив“, пише Morgan.

По-късно, само няколко часа след като Group-IB публикува публикацията си в блога, в която описва откриването и анализа на недостатъка, в публичните хранилища на GitHub се появиха доказателства за концептуални експлойти (PoCs) – включително фалшиви – и генератори на експлойти. Те подхраниха по-нататъшни и продължаващи атаки срещу уязвими системи.

Последни атаки срещу WinRAR

При атаката Sandworm съобщенията включваха връзка към анонимна услуга за споделяне на файлове, fex[.]net, която на свой ред доставяше доброкачествен примамлив PDF документ с учебна програма за обучение на оператори на дронове и злонамерен ZIP файл, експлоатиращ CVE-2023-38831. Полезният товар на файла беше Rhadamanthys, стоков информационен измамник, който може да екфилтрира, наред с други неща, пълномощни за браузъра и информация за сесията. Google TAG отбеляза, че използването на стоков зловреден софтуер не е типично за Sandworm.

Междувременно Google TAG наблюдава, че APT28 използва доставчик на безплатен хостинг, за да сервира първоначална страница, която пренасочва потребителите към сайт – макет, за да се извършат проверки на браузъра, а след това отново към друг етап, който да гарантира, че посетителят идва от IPv4 адрес в Украйна. На този етап потребителят ще бъде подканен да изтегли файл, съдържащ експлойт CVE-2023-38831.

В края на юли и началото на август изследователите са наблюдавали и атака на APT28, при която е пуснат PowerShell скриптът IronJaw, който краде данни за вход в браузъра и локални държавни директории. Векторът на атаката – който пуска BAT файл, който отваря примамлив PDF файл и създава обратна SSH обвивка към контролиран от нападателя IP адрес – е ново допълнение към инструментариума на APT, според Google TAG.

Google TAG свързва четвърта неотдавнашна атака с WinRAR с подкрепяната от Китай IslandDreams – която се проследява и като Bronze Mohawk, GreenCrash, Kryptonite Panda, Periscope и Mudcarp – чрез фишинг кампания в края на август, насочена към потребители в Папуа Нова Гвинея. Фишинг имейлите включваха Dropbox връзка към ZIP архив, съдържащ експлойт CVE-2023-38831 под формата на защитен с парола примамлив PDF файл и LNK файл, който водеше до следващ етап на полезен товар, известен като Islandstager.

Полезният товар Islandstager изпълнява и декодира няколко слоя shellcode, последният от които зарежда и изпълнява крайния полезен товар – BOXRAT, .NET backdoor, който използва Dropbox API като механизъм за управление и контрол.

Притеснителни закъснения при поправките

Google TAG включи индикатори за компрометиране (IOC) за различните сценарии на атака, за да помогне на потребителите да установят дали тяхната система е експлоатирана.

Междувременно потребителите на WinRAR се призовават да актуализират системите си, ако все още не са го направили, тъй като кампаниите още веднъж подчертават важността на навременното актуализиране – нещо, което все още изглежда е глобално предизвикателство за потребителите на софтуер, отбеляза Морган.

„Тези неотдавнашни кампании, използващи грешката на WinRAR, подчертават важността на пачове и това, че все още има какво да се направи, за да се улеснят потребителите в поддържането на сигурността и актуалността на техния софтуер“, пише тя.

Източник: DARKReading

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
30 ноември 2024

Интервю с Anonymous

В случая с хакера, известен като SPYDIRBYTE, може да се каже, че зл...
Бъдете социални
Още по темата
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
29/11/2024

Десетки недостатъци в индус...

Разкрити са близо две дузини уязвимости...
28/11/2024

T-Mobile споделя повече инф...

В сряда T-Mobile сподели допълнителна информация...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!