Rusya’nın mali motivasyonlu Evilnum grubuyla olası bağlantıları olan bir tehdit aktörü, popüler WinRAR dosya sıkıştırma ve arşivleme yardımcı programında artık yamalanmış bir hata aracılığıyla çevrimiçi kripto para birimi ticaret forumlarındaki kullanıcıları hedefliyor.
CVE-2023-38831 olarak izlenen hata, saldırganların “.jpg”, “.txt” ve diğer dosya formatları gibi görünen zip arşivlerindeki kötü amaçlı kodları gizlemesine ve ardından bunları çevrimiçi kripto para birimi ticaret forumlarında dağıtmasına olanak tanıdı.
Aylar Süren Kampanya
Saldırılar en az Nisan ayından bu yana sürüyor; Group-IB’deki araştırmacıların bu güvenlik açığını keşfetmesinden ve WinRAR’ı geliştiren ve dağıtan şirket olan Rarlab’a bildirmesinden yaklaşık üç ay önce.
Rarlab, 20 Temmuz’da sorun için bir beta yaması ve 2 Ağustos’ta da WinRAR’ın güncellenmiş bir sürümünü (sürüm 6.23) yayınladı. Buna rağmen, forumlarda insanların kripto para ticareti yapmak için kullandığı en az 130 sistem virüslü kalmaya devam ediyor. Group-IB bu haftaki raporunda şunları söyledi:. Güvenlik sağlayıcısı, şu anda 500 milyon olduğu tahmin edilen WinRAR kullanıcılarını, güvenlik açığını hedef alan saldırılara maruz kalma risklerini azaltmak için yeni sürümü hemen yüklemeye çağırdı.
Group-IB’deki araştırmacılar, güvenlik sağlayıcısının uzaktan erişim Truva atı olan DarkMe ile ilgili tehdit etkinliğini araştırırken WinRAR’daki sıfır gün güvenlik açığını keşfettiler. NSFocus ilk kez geçen yıl keşfedildi ve Evilnum’a atfedilir. Kötü amaçlı yazılım, hedefleri gözetlemek veya diğer kötü amaçlı yazılımlar için yükleyici olarak kullanmak için çeşitli işlevler içerir. NSFocus, Evilnum grubunun birçok ülkedeki çevrimiçi kumarhaneleri ve ticaret platformlarını hedef alan saldırılarda DarkMe’yi kullandığını gözlemledi.
Group-IB’nin bulduğu güvenlik açığı, WinRAR’ın zip dosyası biçimini işleme biçiminden kaynaklanıyordu. Temel olarak saldırganlara çeşitli türdeki kötü amaçlı yazılım araçlarını zip arşivlerinde gizleme ve bunları hedef sistemlere dağıtma yolu sağladı. Group-IB araştırmacıları, tehdit aktörünün bu şekilde en az üç kötü amaçlı yazılım ailesi yaydığını gözlemledi: DarkMe, GuLoader ve Remcos RAT.
Tehdit aktörü daha sonra silah haline getirilmiş zip arşivlerini, çevrimiçi tüccarların bilgi paylaşmak ve ortak ilgi alanlarını tartışmak için düzenli olarak kullandıkları en az sekiz halka açık foruma dağıttı.
Silahlandırılmış Zip Arşivleri
Çoğu durumda, saldırgan, kötü amaçlı yazılım yüklü zip arşivini bir forum gönderisine veya diğer forum üyelerine gönderilen özel mesajlara ekliyor. Gönderilerin konusu bir forum üyesinin dikkatini çekecek bir konu olma eğilimindeydi. Örneğin, bir gönderide tehdit aktörü, Bitcoin ile ticaret yapmak için en iyi kişisel stratejisini sunduğunu iddia etti ve kötü amaçlı zip arşivini bu gönderiye ekledi. Group-IB, tehdit aktörünün forum hesaplarına erişim sağladığını ve kötü amaçlı yazılımlarını mevcut tartışma konularına yerleştirdiğini de gözlemlediğini söylüyor.
Birkaç örnekte saldırgan, zip arşivlerini catbox.moe adı verilen ücretsiz bir dosya depolama hizmeti aracılığıyla dağıttı.
Kötü amaçlı yazılım, bir sisteme yüklendikten sonra kurbanın ticari hesaplarına erişim sağladı ve bu hesaptan para çekmek için yetkisiz işlemler gerçekleştirdi.
Birkaç kez forum yöneticileri, siteleri aracılığıyla kötü amaçlı dosyaların dağıtıldığının farkına vardı ve üyeleri bu tehdit konusunda uyarmaya çalıştı. Bu uyarılara rağmen tehdit aktörü, forumda kötü amaçlı eklentiler içeren paylaşımlar yapmaya devam etti. Group-IB, “Araştırmacılarımız ayrıca, tehdit aktörlerinin forum yöneticileri tarafından devre dışı bırakılan hesapların engelini kaldırarak, tehditler göndererek veya özel mesajlar göndererek kötü amaçlı dosyaları yaymaya devam edebildiklerine dair kanıtlar gördü.” dedi.
Güvenlik sağlayıcısına göre DarkMe Truva Atı, Evilnum’un kampanyayla ilişkili olduğunu öne sürerken Group-IB, WinRAR saldırılarını kesin olarak tehdit grubuna atfetemedi.