Se ha observado que varios actores de amenazas estatales de Rusia y China explotan una falla de seguridad reciente en la herramienta de archivo WinRAR para Windows como parte de sus operaciones.
La vulnerabilidad en cuestión es CVE-2023-38831 (puntuación CVSS: 7,8), que permite a los atacantes ejecutar código arbitrario cuando un usuario intenta ver un archivo benigno dentro de un archivo ZIP. La deficiencia se ha explotado activamente desde al menos abril de 2023.
Grupo de Análisis de Amenazas de Google (TAG), que detectado las actividades de las últimas semanas, las atribuyó a tres grupos diferentes que rastrea bajo los apodos geológicos FROZENBARENTS (también conocido como Sandworm), FROZENLAKE (también conocido como APT28) e ISLANDDREAMS (también conocido como APT40).
El ataque de phishing vinculado a Sandworm se hizo pasar por una escuela ucraniana de entrenamiento de guerra con drones a principios de septiembre y distribuyó un archivo ZIP malicioso que explotaba CVE-2023-38831 para entregar Rhadamanthys, un malware ladrón de productos básicos que se ofrece a la venta por 250 dólares por una suscripción mensual.
APT28, también afiliado a la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación de Rusia (gru), como es el caso de Sandworm, habría lanzado una campaña de correo electrónico dirigida a organizaciones gubernamentales de Ucrania.
En estos ataques, se pidió a los usuarios de Ucrania que descargaran un archivo que contenía un exploit CVE-2023-38831, un documento señuelo que se hacía pasar por una invitación a un evento del Centro Razumkov, un grupo de expertos en políticas públicas del país.
El resultado es la ejecución de un script de PowerShell llamado IRONJAW que roba datos de inicio de sesión del navegador y directorios estatales locales y exporta la información a una infraestructura controlada por el actor en un webhook.[.]sitio.
El tercer actor de amenaza que explota el error WinRAR es APT40, que desató una campaña de phishing dirigida a Papua Nueva Guinea en la que los mensajes de correo electrónico incluían un enlace de Dropbox a un archivo ZIP que contenía el exploit CVE-2023-38831.
La secuencia de infección finalmente allanó el camino para la implementación de un dropper llamado ISLANDSTAGER que es responsable de cargar BOXRAT, una puerta trasera .NET que utiliza la API de Dropbox para comando y control.
La divulgación se basa en hallazgos recientes de Cluster25, que detallaron los ataques realizados por el equipo de piratería APT28 que explotaba la falla de WinRAR para realizar operaciones de recolección de credenciales.
Algunos de los otros adversarios patrocinados por el Estado que se han unido a la contienda son Konni (que Comparte se superpone con un grupo norcoreano rastreado como Kimsuky) y Dark Pink (también conocido como Grupo Saaiwc), según recomendaciones desde el Equipo Knowsec 404 y NSFOCUS.
«La explotación generalizada del error WinRAR pone de relieve que explotar vulnerabilidades conocidas puede ser muy eficaz, a pesar de que haya un parche disponible», afirma el investigador de TAG
dijo Kate Morgan. «Incluso los atacantes más sofisticados sólo harán lo necesario para lograr sus objetivos».