Se ha observado que varios actores de amenazas estatales de Rusia y China explotan una falla de seguridad reciente en la herramienta de archivo WinRAR para Windows como parte de sus operaciones.<\/p>\n
La vulnerabilidad en cuesti\u00f3n es CVE-2023-38831 (puntuaci\u00f3n CVSS: 7,8), que permite a los atacantes ejecutar c\u00f3digo arbitrario cuando un usuario intenta ver un archivo benigno dentro de un archivo ZIP. La deficiencia se ha explotado activamente desde al menos abril de 2023.<\/p>\n
Grupo de An\u00e1lisis de Amenazas de Google (TAG), que detectado<\/a> las actividades de las \u00faltimas semanas, las atribuy\u00f3 a tres grupos diferentes que rastrea bajo los apodos geol\u00f3gicos FROZENBARENTS (tambi\u00e9n conocido como Sandworm), FROZENLAKE (tambi\u00e9n conocido como APT28) e ISLANDDREAMS (tambi\u00e9n conocido como APT40).<\/p>\n El ataque de phishing vinculado a Sandworm se hizo pasar por una escuela ucraniana de entrenamiento de guerra con drones a principios de septiembre y distribuy\u00f3 un archivo ZIP malicioso que explotaba CVE-2023-38831 para entregar Rhadamanthys, un malware ladr\u00f3n de productos b\u00e1sicos que se ofrece a la venta por 250 d\u00f3lares por una suscripci\u00f3n mensual.<\/p>\n APT28, tambi\u00e9n afiliado a la Direcci\u00f3n Principal del Estado Mayor de las Fuerzas Armadas de la Federaci\u00f3n de Rusia (gru<\/a>), como es el caso de Sandworm, habr\u00eda lanzado una campa\u00f1a de correo electr\u00f3nico dirigida a organizaciones gubernamentales de Ucrania.<\/p>\n En estos ataques, se pidi\u00f3 a los usuarios de Ucrania que descargaran un archivo que conten\u00eda un exploit CVE-2023-38831, un documento se\u00f1uelo que se hac\u00eda pasar por una invitaci\u00f3n a un evento del Centro Razumkov, un grupo de expertos en pol\u00edticas p\u00fablicas del pa\u00eds.<\/p>\n El resultado es la ejecuci\u00f3n de un script de PowerShell llamado IRONJAW que roba datos de inicio de sesi\u00f3n del navegador y directorios estatales locales y exporta la informaci\u00f3n a una infraestructura controlada por el actor en un webhook.[.]sitio.<\/p>\n El tercer actor de amenaza que explota el error WinRAR es APT40, que desat\u00f3 una campa\u00f1a de phishing dirigida a Papua Nueva Guinea en la que los mensajes de correo electr\u00f3nico inclu\u00edan un enlace de Dropbox a un archivo ZIP que conten\u00eda el exploit CVE-2023-38831.<\/p>\n La secuencia de infecci\u00f3n finalmente allan\u00f3 el camino para la implementaci\u00f3n de un dropper llamado ISLANDSTAGER que es responsable de cargar BOXRAT, una puerta trasera .NET que utiliza la API de Dropbox para comando y control.<\/p>\n La divulgaci\u00f3n se basa en hallazgos recientes de Cluster25, que detallaron los ataques realizados por el equipo de pirater\u00eda APT28 que explotaba la falla de WinRAR para realizar operaciones de recolecci\u00f3n de credenciales.<\/p>\n Algunos de los otros adversarios patrocinados por el Estado que se han unido a la contienda son Konni (que Comparte<\/a> se superpone<\/a> con un grupo norcoreano rastreado como Kimsuky) y Dark Pink (tambi\u00e9n conocido como Grupo Saaiwc), seg\u00fan recomendaciones<\/a> desde el Equipo Knowsec 404<\/a> y NSFOCUS<\/a>.<\/p>\n “La explotaci\u00f3n generalizada del error WinRAR pone de relieve que explotar vulnerabilidades conocidas puede ser muy eficaz, a pesar de que haya un parche disponible”, afirma el investigador de TAG <\/p>\n dijo Kate Morgan. “Incluso los atacantes m\u00e1s sofisticados s\u00f3lo har\u00e1n lo necesario para lograr sus objetivos”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Google-TAG-detecta-actores-de-amenazas-respaldados-por-el-estado.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n