Az elmúlt hetekben a Google Threat Analysis Group (TAG) több kormányok által támogatott hackercsoport tevékenységét figyelte meg, akik kihasználták a WinRAR néven ismert Windows-hoz használt fájlarchiváló eszköz ismert sérülékenységét, a CVE-2023-38831-et. A kiberbűnöző csoportok már 2023 elején kihasználták ezt a sérülékenységet, amikor még nem volt ismert a védelem ellene. Most már elérhető a javítás, de sok felhasználó továbbra is sebezhetőnek tűnik, mert nem telepítették a legújabb verziót. A TAG észlelte, hogy különböző országok kormányzati támogatást élvező szereplők előszeretettel használják ki a WinRAR sérülékenységet műveleteik részeként.
A távoli kódvégrehajtáshoz a leendő áldozat kis közreműködése is szükséges, mert amikor egy felhasználó megnyit egy gondosan elkészített RAR fájlt és ezzel annak beágyazott dokumentumát is, akkor a csalárd dokumentum végrehajtódik, ami programfuttatást eredményez.
Máshol is feltűnt ehhez a károkozóhoz kapcsolható aktivitás. A felfedezett ZIP archívumokat kifejezetten kereskedőknek szánták, és ezeket a fenyegető szereplők tették közzé nyilvános fórumokon, ahol a kereskedők gyakran részt vesznek beszélgetésekben, és hasznos információkat osztanak meg egymással. A legtöbb esetben az archívum a bejegyzéshez volt csatolva (ahogy az 1. ábrán is látható), de néhány esetben a rosszindulatú ZIP archívumot egy ingyenesen használható fájlok tárolására szolgáló szolgáltatáson osztották meg, amelyet catbox.moe néven ismertek. Összességében a Group-IB felfedezte, hogy ezeket a rosszindulatú ZIP archívumokat legalább nyolc népszerű kereskedési fórumban tették közzé.
Több mint 500 millió felhasználóval világszerte a WinRAR az egyik legnépszerűbb tömörítő eszköz. Valószínűleg nehéz lenne találni olyan embert, aki soha nem töltötte le vagy nem nyitotta meg ezt az alapvető eszközt. Ha valaki egy e-mailben kap egy archívumot rosszindulatú tartalommal, valószínűleg a WinRAR segítségével nyitja meg. Ennek eredményeként a fenyegető szereplők időt szánnak arra, hogy feltérképezzék a sérülékenységeket ebben és más, az internetezők által gyakran használt népszerű programokban.
A történet
2023. július 10-én, a DarkMe malware terjedését kutatva a Group-IB Threat Intelligence egység egy eddig ismeretlen sérülékenységet fedezett fel a WinRAR által kezelt ZIP fájlformátum feldolgozásában. Ezen program egy sérülékenység kihasználásával a fenyegető szereplők ZIP archívumokat tudtak létrehozni, amelyek különböző malware családok hordozóiként szolgálnak. Fegyverként használt ZIP archívumokat terjesztettek a kereskedési fórumokon. Miután az archívumokat kibontották és végrehajtották, a malware lehetővé teszi a fenyegető szereplők számára a pénz kivonását a brókeri fiókokból. Ezt a sérülékenységet már április 2023 óta kihasználták.
Miután felfedezték a ZIP archívumfájl megnyitásakor történő feldolgozási hibát, amit a fenyegető szereplők kihasználtak az nem meghatározott rosszindulatú funkciónak, és értékelték az azonosított biztonsági hibát, a Group-IB azonnal értesítette a RARLAB-ot a felfedezésekről, és szorosan együttműködött a cég fejlesztőcsapatával a biztonsági probléma megoldásában. A Group-IB kutatók megpróbáltak felvenni a kapcsolatot a MITRE Corporationnal is 2023. július 12-én, hogy kérést nyújtsanak be a CVE azonosító hozzárendelésére a azonosított sérülékenységhez. 2023. augusztus 15-én a MITRE Corporation a CVE-2023-38831 azonosítót rendelte hozzá ehhez a zero-day sérülékenységhez.
A RARLAB csapata azonnal reagált a kérésünkre, és nagyon rövid időn belül kijavította a sérülékenységet. A javítás béta verziója 2023. július 20-án került kiadásra, a frissített WinRAR verzió (6.23-as verzió) pedig 2023. augusztus 2-án jelent meg. Azóta megjelent már egy újabb, 6.24-es verzió is.
A WinRAR hiba széleskörű kihasználása rámutat arra, hogy a ismert sérülékenységek kihasználása rendkívül hatékony lehet, annak ellenére, hogy már elérhető egy javítás. Még a legkifinomultabb támadók is csak azt teszik meg, ami szükséges a céljaik eléréséhez. Azok a nemrégiben végrehajtott kampányok, amelyek kihasználták a WinRAR hibát, kiemelik a javítás fontosságát, és rámutatnak arra, hogy még mindig van teendő a szoftverek biztonságos és naprakész állapotban tartásának megkönnyítése érdekében a felhasználók számára.
Első példa a hiba kihasználására
A rossz szándékú támadók egy ZIP archívumot készítettek, amely különböző malware családokat terjesztett: DarkMe, GuLoader, Remcos RAT. A ZIP archívumokat olyan szakmai fórumokon osztották meg, amelyeket kereskedők használnak. A bejegyzés közzétételének pillanatában még mindig 130 kereskedő eszköze fertőzött. A fertőzött eszközök teljes száma ismeretlen, amelyeket ennek a sérülékenységnek az eredményeként fertőztek meg. Miután megfertőzték az eszközöket, a kiberbűnözők pénzt utaltak ki brókeri fiókokból. A pénzügyi veszteségek teljes összege még mindig ismeretlen.
Második példa a hiba kihasználásra
FROZENBARENTS (más néven SANDWORM) Ukrajnai drónokkal kapcsolatos képzőintézményt színlel, hogy Rhadamanthys információlopót szállítson
Egy korábbi blogbejegyzésben, idén korábban a TAG jelentett a FROZENBARENTS-ról (más néven SANDWORM), akik a számítástechnikai szektor célzásával és további hackelési és adatkiadási műveletekkel folytatták tevékenységüket. A csoportot a Védelmi Haderő Főparancsnokságának (GRU) 74455. egységez vezetik vissza, amely az Orosz Fegyveres Erők Központi Parancsnokságához tartozik. Szeptember 6-án egy olyan e-mail kampányt indítottak, ahol egy ukrán drónharci képzőintézményt színleltek.
Az e-mail megtévesztésként egy meghívást tartalmazott az iskolához való csatlakozáshoz, és egy linket tartalmazott egy névtelen fájlmegosztó szolgáltatáshoz, a fex[.]net-hez, amely egy ártalmatlan cselező PDF dokumentumot tartalmazott egy drónoperátor képzési tananyaggal, valamint egy rosszindulatú ZIP fájlt, amely kihasználta a CVE-2023-38831 címet viselő sérülékenységet, és "Навчальна-програма-Операторi.zip" (Operátorok képzési program) címet viselt.
Az "Навчальна-програма-Оператори.pdf /Навчальна-програма-Оператори.pdf_.bat" fájlban található payload egy tömörített Rhadamanthys információlopó volt. A Rhadamanthys egy általános információlopó, amely képes a böngészőbeli hitelesítő adatokat és munkamenet-információkat gyűjteni és kivezetni, többek között. Előfizetésalapú modellen működik, és már 250 dollárért havi bérlési díjért elérhető. Az olyan kereskedelmi információlopók használata, amelyeket általában a kiberbűnözők alkalmaznak, nem jellemző a FROZENBARENTS-re.
Harmadik példa a hiba kihasználásra
FROZENLAKE adatai Ukrajnai kormányzati szervezeteket céloz meg a spearing-ezési kampányban, amelyek API végpontteszt szolgáltatásokon kerülnek kiszolgálásra
Szeptember 4-én a CERT-UA posztolt a FROZENLAKE (más néven APT28) tevékenységéről, amelyet az orosz GRU-hoz kapcsoltak, és a CVE-2023-38831 kihasználásával olyan malware-t terjesztett, amely az energiainfrastruktúra célpontja volt. A TAG megfigyelte, hogy a FROZENLAKE ingyenes hosztingszolgáltatót használt a CVE-2023-38831 kiszolgálásához az ukrán felhasználók számára. Az kezdeti oldal átirányította a felhasználókat egy mockbin webhelyre, hogy böngészőellenőrzést végezzen, majd átirányítson a következő szakaszhoz, amely biztosította, hogy a látogató egy Ukrajnából származó IPv4 címről érkezik, majd a felhasználót letölteni kéri egy fájlt, amely tartalmaz egy CVE-2023-38831 kihasználást. A cselező dokumentum egy esemény meghívása volt a Razumkov Központtól, ami egy közpolitikai gondolkodóközpont Ukrajnában.
További információk:
- POC
- Traders' Dollars in Danger: CVE-2023-38831 zero-Day vulnerability in WinRAR exploited by cybercriminals to target traders
- Government-backed actors exploiting WinRAR vulnerability
A WinRAR egy népszerű fájlarchiváló szoftver Windows operációs rendszerekhez. Az archiváló szoftverek olyan programok, amelyek lehetővé teszik a felhasználók számára, hogy több fájlt vagy mappát tömörítsenek egyetlen archívumfájlba. Ezek az archívumfájlok kisebb méretűek lehetnek, így könnyebb megosztani vagy tárolni őket. Emellett az ilyen fájlok gyakran jelszóval is védekezhetők, hogy csak azok érhessék el őket, akik ismerik a megfelelő jelszót.
A WinRAR egyike a népszerű fájlarchiváló szoftvereknek, és támogatja a számos archívumformátumot, például a ZIP és a RAR formátumokat. A felhasználók gyakran használják a fájlok tömörítésére, több fájl egyetlen archívumfájlba rendezésére vagy akár az archívumok kibontására. Azonban fontos, hogy frissítse a WinRAR-t és a hozzá kapcsolódó szoftvereket a legújabb verziókra, hogy megvédje rendszerét az esetleges sérülékenységektől és biztonsági fenyegetésektől.