Un certain nombre d’acteurs menaçants d’État en Russie et en Chine ont été observés en train d’exploiter une faille de sécurité récente dans l’outil d’archivage WinRAR pour Windows dans le cadre de leurs opérations.
La vulnérabilité en question est CVE-2023-38831 (score CVSS : 7,8), qui permet aux attaquants d’exécuter du code arbitraire lorsqu’un utilisateur tente d’afficher un fichier inoffensif dans une archive ZIP. Cette lacune est activement exploitée depuis au moins avril 2023.
Google Thrat Analysis Group (TAG), qui détecté les activités de ces dernières semaines, les ont attribuées à trois clusters différents qu’il suit sous les surnoms géologiques FROZENBARENTS (alias Sandworm), FROZENLAKE (alias APT28) et ISLANDDREAMS (alias APT40).
L’attaque de phishing liée à Sandworm a usurpé l’identité d’une école ukrainienne de formation à la guerre par drones début septembre et a distribué un fichier ZIP malveillant exploitant le CVE-2023-38831 pour diffuser Rhadamanthys, un malware voleur de produits qui est proposé à la vente au prix de 250 $ pour un abonnement mensuel.
APT28, également affilié à la Direction principale de l’état-major général des forces armées de la Fédération de Russie (GRU), comme c’est le cas avec Sandworm, aurait lancé une campagne de courrier électronique ciblant les organisations gouvernementales en Ukraine.
Lors de ces attaques, les utilisateurs ukrainiens ont été invités à télécharger un fichier contenant un exploit CVE-2023-38831 – un document leurre qui se faisait passer pour une invitation à un événement du Centre Razumkov, un groupe de réflexion sur les politiques publiques du pays.
Le résultat est l’exécution d’un script PowerShell nommé IRONJAW qui vole les données de connexion du navigateur et les répertoires d’état locaux et exporte les informations vers une infrastructure contrôlée par un acteur sur un webhook.[.]site.
Le troisième acteur malveillant à exploiter le bug WinRAR est APT40, qui a déclenché une campagne de phishing ciblant la Papouasie-Nouvelle-Guinée dans laquelle les messages électroniques incluaient un lien Dropbox vers une archive ZIP contenant l’exploit CVE-2023-38831.
La séquence d’infection a finalement ouvert la voie au déploiement d’un compte-gouttes nommé ISLANDSTAGER, responsable du chargement de BOXRAT, une porte dérobée .NET qui utilise l’API Dropbox pour la commande et le contrôle.
La divulgation s’appuie sur les récentes découvertes de Cluster25, qui détaillent les attaques entreprises par l’équipe de piratage APT28 exploitant la faille WinRAR pour mener des opérations de collecte d’informations d’identification.
Certains des autres adversaires parrainés par l’État qui ont rejoint la mêlée sont Konni (qui actions chevauchements avec un cluster nord-coréen suivi sous le nom de Kimsuky) et Dark Pink (alias Saaiwc Group), selon résultats du Équipe Knownsec 404 et NSFOCUS.
« L’exploitation généralisée du bug WinRAR montre que les exploits pour les vulnérabilités connues peuvent être très efficaces, malgré la disponibilité d’un correctif », a déclaré un chercheur de TAG.
Kate Morgan a dit. « Même les attaquants les plus sophistiqués ne feront que ce qui est nécessaire pour atteindre leurs objectifs. »