Rusya ve Çin’den bir dizi devlet destekli tehdit aktörünün, operasyonlarının bir parçası olarak Windows için WinRAR arşivleme aracında yakın zamanda ortaya çıkan bir güvenlik açığından yararlandığı gözlemlendi.
Söz konusu güvenlik açığı CVE-2023-38831’dir (CVSS puanı: 7,8), kullanıcı ZIP arşivindeki zararsız bir dosyayı görüntülemeye çalıştığında saldırganların rastgele kod yürütmesine olanak tanır. Bu eksiklikten en az Nisan 2023’ten bu yana aktif olarak yararlanılıyor.
Google Tehdit Analiz Grubu (TAG), saptanmış Son haftalardaki faaliyetler, onları FROZENBARENTS (aka Sandworm), FROZENLAKE (aka APT28) ve ISLANDDREAMS (aka APT40) jeolojik isimleri altında takip ettiği üç farklı kümeye bağladı.
Sandworm ile bağlantılı kimlik avı saldırısı, Eylül ayı başlarında Ukrayna’daki bir drone savaş eğitim okulunun kimliğine büründü ve aylık abonelik için 250 $ karşılığında satışa sunulan bir emtia hırsızı kötü amaçlı yazılım olan Rhadamanthys’i sunmak için CVE-2023-38831’i kullanan kötü amaçlı bir ZIP dosyası dağıttı.
APT28, aynı zamanda Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı Ana Müdürlüğüne bağlı (GRU) Sandworm’da olduğu gibi Ukrayna’daki devlet kurumlarını hedef alan bir e-posta kampanyası başlattığı söyleniyor.
Bu saldırılarda, Ukraynalı kullanıcılardan CVE-2023-38831 istismarını içeren bir dosyayı indirmeleri istendi; bu, ülkedeki bir kamu politikası düşünce kuruluşu olan Razumkov Center’dan bir etkinlik davetiyesi gibi görünen sahte bir belgeydi.
Sonuç, tarayıcı oturum açma verilerini ve yerel durum dizinlerini çalan ve bilgileri webhook üzerindeki aktör kontrollü bir altyapıya aktaran IRONJAW adlı bir PowerShell betiğinin yürütülmesidir.[.]alan.
WinRAR hatasını istismar eden üçüncü tehdit aktörü, Papua Yeni Gine’yi hedef alan ve e-posta mesajlarının CVE-2023-38831 istismarını içeren bir ZIP arşivine bir Dropbox bağlantısı içeren bir kimlik avı kampanyasını başlatan APT40’tır.
Bulaşma dizisi sonuçta komuta ve kontrol için Dropbox API’sini kullanan bir .NET arka kapısı olan BOXRAT’ın yüklenmesinden sorumlu olan ISLANDSTAGER adlı bir damlalığın konuşlandırılmasının yolunu açtı.
Açıklama, kimlik bilgisi toplama operasyonlarını yürütmek için WinRAR kusurundan yararlanan APT28 korsan ekibi tarafından gerçekleştirilen saldırıların ayrıntılarını içeren Cluster25’ten elde edilen son bulgulara dayanıyor.
Mücadeleye katılan diğer devlet destekli düşmanlardan bazıları Konni’dir (ki bu da hisseler örtüşmeler göre, Kimsuky olarak takip edilen Kuzey Koreli bir küme) ve Dark Pink (diğer adıyla Saaiwc Grubu) bulgular itibaren Bilinen sec 404 ekibi Ve NODAK.
TAG araştırmacısı, “WinRAR hatasının yaygın şekilde kullanılması, bilinen güvenlik açıklarından yararlanmanın, mevcut bir yama olmasına rağmen son derece etkili olabileceğini vurgulamaktadır.”
Kate Morgan dedi. “En gelişmiş saldırganlar bile yalnızca hedeflerine ulaşmak için gerekli olanı yapar.”