Търсене
Close this search box.

Проруски хакери използват скорошна уязвимост на WinRAR в нова кампания

Проруски хакерски групи са използвали наскоро разкрита уязвимост в сигурността на програмата за архивиране WinRAR като част от фишинг кампания, предназначена за събиране на данни от компрометирани системи.

„Атаката включва използването на злонамерени архивни файлове, които използват наскоро откритата уязвимост, засягаща версиите на софтуера за компресиране WinRAR преди 6.23 и проследена като CVE-2023-38831“, се казва в доклад на Cluster25, публикуван миналата седмица.

Архивът съдържа заложен в капана PDF файл, който при щракване предизвиква изпълнение на Windows Batch скрипт, който стартира PowerShell команди за отваряне на обратна обвивка, която дава на нападателя отдалечен достъп до целевия хост.

Разгърнат е и PowerShell скрипт, който краде данни, включително идентификационни данни за вход, от браузърите Google Chrome и Microsoft Edge. Прихванатата информация се ексфилтрира чрез легитимна уеб услуга webhook[.]site.

CVE-2023-38831 се отнася до високосериозен недостатък в WinRAR, който позволява на атакуващите да изпълнят произволен код при опит за преглед на доброкачествен файл в архив ZIP. Констатациите на Group-IB от август 2023 г. разкриват, че грешката е била използвана като нулев ден от април 2023 г. насам в атаки, насочени към търговци.

Разработката идва в момент, когато Mandiant, собственост на Google, картографира „бързо развиващите се“ фишинг операции на рускaта APT29, насочени към дипломатически структури, на фона на повишено темпо и акцент върху Украйна през първата половина на 2023 г.

Съществените промени в инструментариума и похватите на APT29 „вероятно са предназначени да поддържат повишената честота и обхват на операциите и да затрудняват съдебния анализ“, заяви компанията, както и че тя е „използвала различни вериги за заразяване едновременно в различни операции“.

Някои от забележителните промени включват използването на компрометирани сайтове на WordPress за хостване на полезните товари на първия етап, както и допълнителни компоненти за замаскиране и антианализ.

AРT29, която също е свързана с експлоатация, насочена към облака, е един от многото клъстери на активност, произхождащи от Русия, които се спряха на Украйна след началото на войната миналата година.

През юли 2023 г. Екипът за реагиране при компютърни инциденти на Украйна (CERT-UA) замеси Turla в атаки, при които се използват зловредният софтуер Capibar и задната врата Kazuar за шпионски атаки срещу украински отбранителни активи.

„Групата Turla е настойчив противник с дълга история на дейност. Произходът, тактиката и целите им показват, че става дума за добре финансирана операция с висококвалифицирани оперативни работници“, разкрива Trend Micro в неотдавнашен доклад. „Turla непрекъснато развива своите инструменти и техники в продължение на години и вероятно ще продължи да ги усъвършенства.“

В доклад от миналия месец украинските агенции за киберсигурност също разкриха, че подкрепяни от Кремъл хакерски групи са се насочили към местни правоприлагащи органи, за да събират информация за украински разследвания на военни престъпления, извършени от руски войници.

„През 2023 г. най-активните групи бяха UAC-0010 (Gamaredon/FSB), UAC-0056 (GRU), UAC-0028 (APT28/GRU), UAC-0082 (Sandworm/GRU), UAC-0144 / UAC-0024 / UAC-0003 (Turla), UAC-0029 (APT29/ SVR), UAC-0109 (Zarya), UAC-0100, UAC-0106 (XakNet) [и] UAC-0107 (CyberArmyofRussia)“, заявиха от Държавната служба за специални комуникации и защита на информацията на Украйна (ДССИИ).

През първото полугодие на 2023 г. CERT-UA е регистрирала 27 „критични“ киберинцидента в сравнение със 144 през втората половина на 2022 г. и 319 през първата половина на 2022 г. Като цяло разрушителните кибератаки, засягащи операциите, са намалели от 518 на 267.

Източник: The Hacker News

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
Бъдете социални
Още по темата
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
05/04/2024

Секторът на нефта и газа е ...

Анализаторите откриват, че ефективната фишинг кампания...
02/04/2024

Google започна автоматично ...

Google започна автоматично да блокира имейли,...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!