Google安全研究人员表示,他们发现证据表明,与俄罗斯和中国有关的政府支持的黑客正在利用 WinRAR(流行的 Windows 共享软件归档工具)中已修补的漏洞。WinRAR 漏洞于今年早些时候首次由网络安全公司 Group-IB 发现,编号为 CVE-2023-38831,该漏洞允许攻击者在存档文件中隐藏恶意脚本,这些脚本伪装成看似无害的图像或文本文档。
Group-IB 表示,该漏洞早在 4 月份就被当作零日漏洞利用,因为开发人员在漏洞被利用之前没有时间修复该漏洞,从而危害了至少 130 名金融交易者的设备。
制作压缩工具的 Rarlab 于 8 月 2 日发布了 WinRAR 的更新版本(版本 6.23)来修复该漏洞。
尽管如此,Google威胁分析小组(TAG)本周表示,其研究人员观察到多个政府支持的黑客组织利用该安全漏洞,并指出“许多用户”尚未更新该应用程序仍然容易受到攻击。 在发布前与 TechCrunch 分享的研究中,TAG 表示,它观察到多个利用 WinRAR 零日漏洞的活动,该漏洞与与俄罗斯和中国有联系的国家支持的黑客组织有关。
其中一个组织包括一个名为 Sandworm 的俄罗斯军事情报部门,该部门以破坏性网络攻击而闻名,例如该组织于 2017 年发起的 NotPetya 勒索软件攻击,主要攻击了乌克兰的计算机系统并扰乱了该国的电网。
TAG 研究人员观察到 Sandworm 在 9 月初利用了 WinRAR 缺陷,作为冒充乌克兰无人机战争训练学校的恶意电子邮件活动的一部分。 这些电子邮件包含一个利用 CVE-2023-38831 的恶意存档文件的链接,该文件打开后会在受害者的计算机上安装窃取信息的恶意软件并窃取浏览器密码。
另外,TAG 表示,它观察到另一个臭名昭著的俄罗斯支持的黑客组织(被追踪为 APT28,俗称 Fancy Bear)利用 WinRAR 零日攻击,以冒充 Razumkov 中心(一项公共政策)的电子邮件活动为幌子,针对乌克兰用户进行攻击。 Fancy Bear 因 2016 年针对民主党全国委员会的黑客泄密行动而闻名。
Google的调查结果是在威胁情报公司 Cluster25 的早期发现之后进行的,该公司上周表示,它还观察到俄罗斯黑客利用 WinRAR 漏洞进行网络钓鱼活动,旨在从受感染的系统中获取凭据。 Cluster25 表示,它以“低到中度的信心”评估 Fancy Bear 是该活动的幕后黑手。
Google补充说,其研究人员发现证据表明,中国支持的黑客组织 APT40(美国政府此前已将该组织与中国国家安全部联系起来)也滥用 WinRAR 零日漏洞,作为针对用户的网络钓鱼活动的一部分。 在巴布亚新几内亚。 这些电子邮件包含指向包含 CVE-2023-38831 漏洞的存档文件的 Dropbox 链接。
TAG 研究人员警告说,对 WinRAR 漏洞的持续利用“凸显了对已知漏洞的利用可能非常有效”,因为攻击者利用缓慢的修补速度来获取优势。
了解更多:
https://blog.google/threat-analysis-group/government-backed-actors-exploiting-winrar-vulnerability/