Rusya ve Çin’den devlet destekli tehdit aktörleri, hedeflere kötü amaçlı yazılım dağıtmak için yama yapılmamış sistemlerdeki uzaktan kod yürütme (RCE) WinRAR güvenlik açığını azaltmaya devam ediyor.
Google’ın Tehdit Analiz Grubu’ndaki (TAG) araştırmacılar, son haftalarda özellikle Ukrayna ve Papua Yeni Gine’deki kuruluşlara bilgi hırsızları ve arka kapı kötü amaçlı yazılımları dağıtmak için CVE-2023-38831’i kullanan saldırıları izliyor. Kusur, RarLab’ın Windows için popüler WinRAR dosya arşivleme aracında bilinen ve yamalı bir güvenlik açığıdır, ancak güncellenmemiş sistemler savunmasız olmaya devam etmektedir.
Google TAG’dan Kate Morgan bir blog yazısında şöyle yazdı: “TAG, çeşitli ülkelerden hükümet destekli aktörlerin operasyonlarının bir parçası olarak WinRAR güvenlik açığından yararlandığını gözlemledi.”
Google TAG’a göre, Rusya destekli gelişmiş kalıcı tehdit (APT) grupları, WinRAR’a yapılan son saldırıların başlıca failleri. 6 Eylül’de Sandworm, okula katılma davetini yem olarak kullanarak Ukrayna’daki bir insansız hava aracı savaş eğitim okulunu taklit eden bir e-posta kampanyası başlattı.
Rusya destekli başka bir grup olan kötü şöhretli APT28 (diğer adıyla Frozenlake, Fancy Bear, Strontium veya Sednit), bu kusuru, hedefleri bir sahte belgeye davet eden sahte bir belge kullanan bir kimlik avı kampanyası yoluyla Ukrayna’daki enerji altyapısını hedef alan kötü amaçlı yazılım dağıtmak için kullandı. Ukrayna’daki bir kamu politikası düşünce kuruluşu olan Razumkov Center’ın ev sahipliği yaptığı etkinlik.
Bu arada, Çin destekli IslandDreams (APT40) grubunun bir kimlik avı kampanyası, Papua Yeni Gine’deki kullanıcılara bilgi hırsızları gönderdi.
Morgan, RarLab’ın 20 Temmuz’da sorun için bir beta yaması ve 2 Ağustos’ta da WinRAR’ın güncellenmiş bir sürümünü (sürüm 6.23) yayınladığını ancak birçok sistemin savunmasız kaldığını ve bu nedenle sömürülmeye hazır olduğunu belirtti. “Bir güvenlik açığı yamalandıktan sonra, kötü niyetli aktörler n güne güvenmeye devam edecek ve yavaş yama oranlarını kendi avantajlarına kullanacak” diye yazdı.
WinRAR Kusurundan Yararlanmak
Group-IB, Temmuz ayında WinRAR’da mantıksal bir güvenlik açığı olan CVE-2023-38831’i keşfetti. Ancak APT grupları bu kusuru Nisan ayından bu yana sıfır gün hatası olarak kullanıyordu; buna Rusya destekli tehdit grubu Evilnum’un kripto para birimi tüccarlarını hedeflemek için silah haline getirilmiş ZIP dosyalarını kullanan bir tanesi de dahil.
Google TAG’a göre, kusurdan yararlanma potansiyeli, arşiv işleme sırasında geçici dosya genişletme, boşluk içeren bir uzantıya sahip bir dosyayı açmaya çalışırken Windows ShellExecute uygulamasındaki bir tuhaflık ile birleştirildiğinde ortaya çıkıyor.
Morgan, “Güvenlik açığı, bir kullanıcı ZIP arşivindeki zararsız bir dosyayı (sıradan bir PNG dosyası gibi) görüntülemeye çalıştığında saldırganların rastgele kod yürütmesine olanak tanıyor” diye yazdı.
Daha sonra, Group-IB’nin kusurun keşfini ve analizini özetleyen blog gönderisini yayınlamasından yalnızca birkaç saat sonra, sahte olanlar da dahil olmak üzere kavram kanıtlama açıklarından yararlanmalar (PoC’ler) ve yararlanma oluşturucular halka açık GitHub depolarında ortaya çıktı. Bunlar, savunmasız sistemlere yönelik daha fazla ve devam eden saldırıları körükledi.
En Son WinRAR Hedefleme
Sandworm saldırısında, mesajlar anonim bir dosya paylaşım hizmeti olan fex’e bir bağlantı içeriyordu.[.]net, bunun karşılığında drone operatörü eğitim müfredatını ve CVE-2023-38831’i kullanan kötü amaçlı bir ZIP dosyasını içeren zararsız bir tuzak PDF belgesi sundu. Dosyanın yükü, diğer şeylerin yanı sıra tarayıcı kimlik bilgilerini ve oturum bilgilerini de sızdırabilen bir ticari bilgi hırsızı olan Rhadamanthys’ti. Google TAG, ticari amaçlı kötü amaçlı yazılım kullanımının Sandworm’a özgü olmadığını belirtti.
Bu arada Google TAG, APT28’in, kullanıcıları tarayıcı kontrolleri yapmak üzere bir maket sitesine yönlendiren bir başlangıç sayfası sunmak için ücretsiz bir barındırma sağlayıcısı kullandığını ve ardından yine ziyaretçinin Ukrayna’daki bir IPv4 adresinden geldiğinden emin olacak başka bir aşamaya geçtiğini gözlemledi. Bu noktada kullanıcıdan CVE-2023-38831 istismarını içeren bir dosyayı indirmesi istenecektir.
Temmuz sonu ve Ağustos başında araştırmacılar, tarayıcı oturum açma verilerini ve yerel durum dizinlerini çalan PowerShell komut dosyası IronJaw’ı devre dışı bırakan bir APT28 saldırısı da gözlemlediler. Google TAG’a göre, sahte bir PDF dosyasını açan ve saldırgan tarafından kontrol edilen bir IP adresine ters SSH kabuğu oluşturan bir BAT dosyasını bırakan saldırı vektörü, APT’nin araç setine yeni eklenen bir özellikti.
Google TAG, Ağustos ayı sonlarında Papua Yeni Gine’deki kullanıcıları hedef alan bir kimlik avı kampanyası aracılığıyla, yakın zamanda gerçekleşen dördüncü WinRAR saldırısını Bronze Mohawk, GreenCrash, Kryptonite Panda, Periscope ve Mudcarp olarak da takip edilen Çin destekli IslandDreams’e bağladı. Kimlik avı e-postaları, şifre korumalı tuzak PDF biçiminde bir CVE-2023-38831 istismarını ve Islandstager olarak bilinen bir sonraki aşama yüküne yol açan bir LNK dosyasını içeren bir ZIP arşivine giden bir Dropbox bağlantısı içeriyordu.
Islandstager yükü, birkaç kabuk kodu katmanını yürütür ve kodunu çözer; bunlardan sonuncusu, bir komut ve kontrol mekanizması olarak Dropbox API’sini kullanan bir .NET arka kapısı olan BOXRAT adlı son yükü yükler ve yürütür.
Sorunlu Yama Gecikmeleri
Google TAG, kullanıcıların sistemlerinin kötüye kullanılıp kullanılmadığını belirlemesine yardımcı olmak amacıyla çeşitli saldırı senaryoları için güvenlik ihlali göstergelerini (IOC’ler) içeriyordu.
Bu arada, kampanyalar zamanında yama yapmanın önemini bir kez daha vurguladığından, WinRAR kullanıcılarından henüz yapmamışlarsa sistemlerini güncellemeleri isteniyor; bu, yazılım kullanıcıları için hala küresel bir zorluk gibi görünen bir şey, diye belirtti Morgan.
“WinRAR hatasını kullanan bu son kampanyalar, yama uygulamasının öneminin altını çiziyor ve kullanıcıların yazılımlarını güvenli ve güncel tutmasını kolaylaştırmak için hala yapılması gereken işler olduğunu gösteriyor” diye yazdı.