Google, devlet destekli birkaç hack grubunun, 500 milyondan fazla kullanıcı tarafından kullanılan bir sıkıştırma yazılımı olan Winrar'da, hedeflerin sistemlerinde keyfi kod yürütülmeyi amaçlayan yüksek aralıklı bir kırılganlıktan yararlanarak devam eden saldırılara katıldığını söylüyor.
Google'ın Google kullanıcılarını devlet destekli saldırılardan koruyan bir güvenlik uzmanları ekibi olan Google'ın Tehdit Analiz Grubu (TAG), Sandworm, APT28 ve Rusya ve Çin'den APT40 tehdit grupları da dahil olmak üzere hatayı hedefleyen birkaç ülkeden devlet bilgisayar korsanlarını tespit etti.
Google Tag, "Son haftalarda, Google'ın Tehdit Analiz Grubu'nun (TAG), Windows için popüler bir dosya arşivi aracı olan Winrar'da bilinen güvenlik açığından yararlanan CVE-2023-38831'den yararlanan çok sayıda hükümet destekli hack grubunu gözlemledi." Dedi.
"Artık bir yama mevcut, ancak birçok kullanıcı hala savunmasız görünüyor. TAG, operasyonlarının bir parçası olarak Winrar güvenlik açığından yararlanan birkaç ülkeden hükümet destekli aktörleri gözlemledi."
Eylül ayı başlarında bir saldırıda, Rus Sandworm Hacker'ları, Ukraynalı bir Drone eğitim okuluna katılmak için sahte davetiyeler kullanarak kimlik avı saldırılarında Rhadamanthys Infostealer kötü amaçlı yazılım teslim etti.
Başka bir Rus hack grubu olan ATP28, ücretsiz bir barındırma sağlayıcısı tarafından sağlanan sunucularda barındırılan CVE-2023-38831 istismarları olan Ukraynalı kullanıcıları hedef aldı. Bu saldırıda, tehdit aktörleri tarayıcı kimlik bilgilerini çalmak için kötü niyetli bir PowerShell betiği (Ironjaw) kullandı.
Ayrıca, APT40 Çinli hackerlar Papua Yeni Gine'deki hedeflere yönelik saldırılarda Winrar güvenlik açığından yararlanıyor. IslandStager ve Boxrat'ı konuşlandırdılar, bu da tehlikeye atılan sistemlerde kalıcılık oluşturmalarına izin verdiler.
CVE-2023-38831 Winrar Kusur, en azından Nisan 2023'ten beri sıfır gün olarak aktif sömürü altında, tehdit aktörlerinin, kötü hazırlanmış RAR ve zip arşivlerini booby içeren zip arşivleri açarak hedeflerine kod yürütmesine izin verdi. tuzağa düşmüş tuzak dosyaları.
Nisan ayından bu yana, hata Darkme, Guloader ve Remcos Rat dahil olmak üzere çok çeşitli kötü amaçlı yazılım yükleri sunmak için kullanılmıştır.
Grup-IB araştırmacıları, kripto para birimini ve hisse senedi ticaret forumlarını hedefleyen sömürü örneklerini keşfettiler. Bu saldırılarda, tehdit aktörleri, ticaret stratejilerini şüphesiz kurbanlarla paylaşıyormuş gibi davranırken diğer meraklıları taklit etti.
Grup-IB bulgularını açıkladıktan sonra, konsept istismar kanıtı kamu Github depolarında ortaya çıkmaya başladı ve Google etiketinin finansal olarak motive edilmiş bilgisayar korsanları ve APT grupları tarafından CVE-2023-38831 "test etkinliği" olarak tanımladığı şeye yol açtı.
Diğer siber güvenlik şirketleri de bu Winrar'dan yararlanan saldırıları Darkpink (NSFOCUS) ve Konni (Bilinç) dahil olmak üzere diğer birkaç tehdit grubuyla ilişkilendirdi.
Sıfır gün, 2 Ağustos'ta Winrar sürüm 6.23'ün piyasaya sürülmesiyle sabitlendi ve bu da diğer birkaç güvenlik kusurunu da çözdü. Bunlardan biri, özel hazırlanmış RAR dosyaları aracılığıyla komut yürütmeyi tetiklemek için kullanılabilecek bir hata olan CVE-2023-40477'dir.
Google, "Winrar hatasının yaygın olarak kullanılması, bilinen güvenlik açıkları için istismarların mevcut olmasına rağmen oldukça etkili olabileceğini vurgular. En sofistike saldırganlar bile hedeflerine ulaşmak için gerekli olanı yapacak." Dedi.
Diyerek şöyle devam etti: "Winrar Hatası'ndan yararlanan bu son kampanyalar, yama yapmanın öneminin altını çiziyor ve kullanıcıların yazılımlarını güvenli ve güncel tutmasını kolaylaştırmak için hala yapılacak işler var."
Rus Sandworm Hacker'ları Mayıs ayından bu yana 11 Ukrayna telcosunu ihlal etti
Winrar Zero-Day Nisan ayından bu yana Ticaret Hesaplarını Hacklemek
Fidye yazılımı çeteleri artık kritik TeamCity RCE kusurundan yararlanıyor
Son zamanlarda yamalı Citrix NetScaler Bug, Ağustos ayından bu yana sıfır gün olarak sömürüldü
IOS XE Zero-Day saldırılarında 10.000'den fazla Cisco cihazı hacklendi
Kaynak: Bleeping Computer