Исследователи безопасности Google говорят, что они нашли доказательства того, что поддерживаемые государством хакеры, связанные с Россией и Китаем, используют исправленные уязвимости в WinRAR, популярном условно-бесплатном инструменте архивирования Windows. Уязвимость WinRAR, впервые обнаруженная ранее в этом году фирмой по кибербезопасности Group-IB и получившая номер CVE-2023-38831, позволяет злоумышленникам скрывать вредоносные сценарии в архивных файлах, замаскированных под, казалось бы, безобидные изображения или текстовые документы.

Group-IB заявила, что уязвимость была использована как уязвимость нулевого дня еще в апреле, поскольку разработчики не успели исправить ее до того, как она была использована, ставя под угрозу устройства как минимум 130 финансовых трейдеров.

Компания Rarlab, производящая инструменты сжатия, 2 августа выпустила обновленную версию WinRAR (версия 6.23) для устранения уязвимости.

Тем не менее, группа анализа угроз Google (TAG) заявила на этой неделе, что ее исследователи наблюдали, как несколько поддерживаемых правительством хакерских групп использовали уязвимость безопасности, отметив, что «многие пользователи», которые не обновили приложение, все еще уязвимы. В исследовании, предоставленном TechCrunch перед публикацией, TAG сообщила, что наблюдала несколько кампаний, использующих уязвимость нулевого дня WinRAR, связанную с спонсируемыми государством хакерскими группами, связанными с Россией и Китаем.

В одну из групп входит российское подразделение военной разведки под названием Sandworm, известное своими разрушительными кибератаками, такими как атака с использованием программы-вымогателя NotPetya, начатая группой в 2017 году, которая в первую очередь атаковала украинские компьютерные системы и нарушила энергосистему страны.

Исследователи TAG наблюдали, как Sandworm использовал уязвимость WinRAR в начале сентября в рамках вредоносной электронной рассылки, выдававшей себя за украинскую школу подготовки боевых дронов. В электронных письмах содержится ссылка на вредоносный архивный файл, использующий CVE-2023-38831, который при открытии устанавливает на компьютер жертвы вредоносное ПО, кражущее информацию, и крадет пароли браузера.

Кроме того, TAG сообщила, что заметила, что другая пресловутая хакерская группа, поддерживаемая Россией (отслеживаемая как APT28, широко известная как FancyBear), использовала атаки нулевого дня WinRAR для нападения на украинских пользователей под видом рассылки по электронной почте, выдавая себя за Центр Разумкова (публичная политика). FancyBear наиболее известна своей кампанией по взлому и утечке информации в 2016 году, направленной против Национального комитета Демократической партии.

Выводы Google следуют за более ранним открытием компании Cluster25, занимающейся разведкой угроз, которая заявила на прошлой неделе, что также наблюдала, как российские хакеры использовали уязвимость WinRAR в фишинговой кампании, направленной на сбор учетных данных из зараженных систем. Cluster25 заявил, что оценивает «низкую или умеренную уверенность» в том, что за кампанией стоит FancyBear.

Google добавила, что ее исследователи обнаружили доказательства того, что поддерживаемая Китаем хакерская группа APT40, которую правительство США ранее связывало с Министерством государственной безопасности Китая, также злоупотребляла уязвимостью нулевого дня WinRAR в рамках фишинговых кампаний против пользователей. В Папуа-Новой Гвинее. В письмах Dropbox содержатся ссылки на архивные файлы, содержащие уязвимость CVE-2023-38831.

Исследователи TAG предупреждают, что продолжающаяся эксплуатация уязвимостей WinRAR «подчеркивает, насколько эффективными могут быть эксплойты известных уязвимостей», поскольку злоумышленники пользуются медленными темпами установки исправлений.

узнать больше:

https://blog.google/threat-anaанализ-group/government-backed-actors-exploiting-winrar-vulnerability/