Rusya ve Çin’den hükümet destekli bilgisayar korsanları, 500 milyondan fazla kullanıcısı olan dünyanın en popüler sıkıştırma aracı WinRAR’ın eski sürümlerindeki bilinen bir güvenlik açığından yararlandı. Google’ın Tehdit Analiz Grubu (TAG) Çarşamba günü yaptığı açıklamada, gözlemlendi 2023’ün başlarından itibaren WinRAR hatasını kullanan bir dizi hükümet destekli bilgisayar korsanlığı kampanyası.
Google’dan Kate Morgan, TAG blog yazısında şunları söyledi: “Korumayı sağlamak için kuruluşlara ve kullanıcılara yazılımları tamamen güncel tutmalarını ve güvenlik güncellemelerini çıktıkları anda yüklemelerini tavsiye ediyoruz.”
Güvenlik açığı, hatanın keşfedilmesinden kısa bir süre sonra Ağustos ayında yayınlanan 6.23 sürümünden önce RARLAB’ın tüm WinRAR ürünlerinde mevcuttu. Güvenlik açığı şu şekilde ortaya çıktı: Grup-IBbilgisayar korsanlarının tüccarlarla dolu bir finans forumuna nasıl sızabildiklerini, forum üyelerinin 130 cihazına nasıl bulaşabildiklerini ve aracılık hesaplarından para çekebildiklerini tanımlıyor.
Group-IB Kötü Amaçlı Yazılım Analisti Andrey Polovinkin, “Siber suçlular, dosya uzantılarını taklit etmelerine olanak tanıyan bir güvenlik açığından yararlanıyor” diye yazdı. Blog yazısı ağustos ayında geri döndüm. “‘.jpg’, ‘.txt’ veya başka herhangi bir dosya biçimi gibi görünen bir arşiv içinde kötü amaçlı komut dosyalarının başlatılmasını gizleyebiliyorlar.”
Google, Rus Silahlı Kuvvetleri grubunu belirledi”Kum kurduWinRAR’ın kodundaki bu güvenlik açığından yararlanan bir bilgisayar korsanı olarak. Sandworm, kimlik avı kampanyaları aracılığıyla özellikle Ukrayna ve Doğu Avrupa’daki enerji ve savunma sektörleriyle bağlantısı olan kullanıcıları hedef aldı. Başka bir grup olan “APT 40” bağlantılı Çin Dışişleri Bakanlığı’na gönderilen şüphelinin, Google tarafından Papua Yeni Gine’ye karşı kötü niyetli bir kampanya başlattığı tespit edildi.
İçinde Not RARLAB, hatayı düzelten ilk güncelleme olan WinRAR’ın 6.23 sürümünde Group-IB’ye ve Sıfır Gün Girişimi onları bu güvenlik açığından haberdar ettikleri için ve “en son sürümün yüklenmesini şiddetle tavsiye ediyorum.”
Uzun zamandır kullanıcıların güncelleme yazılımlarını olması gerektiği kadar kullanın, özellikle de başlangıçta bilgisayar kullanırken çok rahat olmayan kişiler.
Google’ın TAG ekibi, “WinRAR hatasını kullanan bu son kampanyalar, yama uygulamasının öneminin altını çiziyor ve kullanıcıların yazılımlarını güvenli ve güncel tutmasını kolaylaştırmak için hala yapılması gereken işler olduğunu gösteriyor” dedi.