20/10/23
Компания Google сообщила , что несколько государственно-поддерживаемых хакерских групп активно эксплуатируют высокоопасную уязвимость в программе сжатия WinRAR, которой пользуются более 500 миллионов пользователей. Целью атак является выполнение произвольного кода на системах жертв, согласно Securitylab.
Команда по анализу угроз Google (TAG), состоящая из экспертов по безопасности, обнаружила попытки эксплуатации уязвимости от хакеров из нескольких стран, включая такие группы угроз, как Sandworm, APT28 и APT40.
"За последние недели TAG заметила, что множествохакерских групп эксплуатируют известную уязвимость, CVE-2023-38831, в WinRAR, популярном архиваторе файлов для Windows," - сказали в Google TAG.
Патч уже выпущен, однако многие пользователи, по-видимому, продолжают оставаться уязвимыми. TAG отмечает активное использование этой уязвимости в WinRAR государственными хакерами из различных стран.
В одной из атак хакеры использовали вредоносное ПО Rhadamanthys для кражи данных, а в другой - мошеннический скрипт PowerShell (IRONJAW) для кражи учетных данных браузера.
Кроме того, были замечены атаки на цели в Папуа-Новой Гвинее, где злоумышленники использовали уязвимость WinRAR для установления постоянного присутствия на скомпрометированных системах.
Уязвимость CVE-2023-38831 активно эксплуатируется с апреля 2023 года. С тех пор ошибку использовали для доставки различных вредоносных программ.
Исследователи из Group-IB обнаружили эксплуатацию, направленную на криптовалютные и форумы по торговле акциями.
Другие компании, занимающиеся кибербезопасностью, также связали атаки с использованием этого WinRAR с несколькими другими группами угроз, включая DarkPink ( NSFOCUS ) и Konni ( Knownsec ).
После раскрытия информации Group-IB на публичных репозиториях GitHub начали появляться примеры эксплуатации уязвимости, что привело к активному "тестированию" уязвимости хакерами.
Другие компании по кибербезопасности также связали атаки на эту уязвимость с несколькими другими группами угроз.
Уязвимость была устранена с выпуском версии WinRAR 6.23 2 августа, которая также устранила несколько других проблем безопасности.
"Широкое использование уязвимости в WinRAR показывает, что эксплуатации известных уязвимостей могут быть очень эффективными, несмотря на наличие патча. Даже самые продвинутые злоумышленники будут делать только то, что необходимо для достижения своих целей," - сказали в Google.
