Bir dizi hükümet destekli APT, Windows için yaygın olarak kullanılan bir dosya arşivleme aracı olan WinRAR’daki bir dosya uzantısı sahtekarlığı güvenlik açığı olan CVE-2023-38831’den yararlanıyor.
CVE-2023-38831, başka bir yüksek önemdeki RCE güvenlik açığıyla (CVE-2023-40477) birlikte Ağustos 2023’te yamalandı.
Nisan 2023’ten bu yana siber suçlular tarafından sıfır gün olarak kullanılan güvenlik açığı, artık devlet destekli bilgisayar korsanlığı grupları tarafından da kullanılıyor.
Google TAG analistleri, “WinRAR hatasının yaygın şekilde kullanılması, bilinen güvenlik açıklarından yararlanmanın, bir yama mevcut olmasına rağmen son derece etkili olabileceğini vurguluyor” dedi.
CVE-2023-38831’i tetikleyebilen ZIP arşivleri oluşturmaya yönelik bir kavram kanıtı çevrimiçi olarak mevcuttur.
Kimlik avı e-postaları açıklardan yararlanıyor
Google analistleri, CVE-2023-38831’i kullanarak çeşitli kampanyaları işaretledi ve tüm bu saldırılarla ilgili IoC’leri paylaştı.
Kötü şöhretli Sandworm bilgisayar korsanları, Eylül ayı başlarında Ukrayna’daki bir insansız hava aracı savaş eğitim okulunun kimliğine büründü. Gönderdikleri e-postalar, okula katılma davetini ve WinRAR’ın savunmasız bir sürümüyle birlikte açıldığında Rhadamanthys bilgi hırsızlığını da çalıştıracak bubi tuzaklı bir arşiv dosyasını içeriyordu.
Aynı sıralarda yine Rusya hükümetinin sponsorluğunu üstlendiğine inanılan Fancy Bear (APT28), Ukrayna’daki bir kamu politikası düşünce kuruluşundan gelen sahte etkinlik davetiyesiyle enerji sektöründe çalışan Ukraynalıları hedef aldı.
Google araştırmacıları ayrıca bir dosyayı da analiz etti (IOC_09_11.rarEylül ayında VirusTotal’a yüklenen ve tarayıcı oturum açma verilerini ve yerel durum dizinlerini çalan bir PowerShell betiğini tetikleyen bir virüs.
DuskRise’ın Cluster25 tehdit istihbarat ekibindeki araştırmacılar, dosyanın çeşitli kötü amaçlı yazılımlar için tehlike göstergeleri (IoC’ler) içerdiğini, ancak aynı zamanda WinRAR kusurunu ve hedef makinede ters bir kabuk açan ve oturum açma işlemlerini sızdıran PowerShell komutlarının başlatılmasını tetiklediğini söylüyor. Google Chrome ve Microsoft Edge’de saklanan kimlik bilgileri.
“Cluster25’in görünürlüğüne göre ve enfeksiyon zincirinin karmaşıklığı göz önüne alındığında, saldırının Rus devlet destekli APT28 (diğer adıyla Fancy Bear, Sednit) grubuyla düşük ila orta düzeyde güven ile ilgili olabileceği” diye eklediler.
Son olarak Google, Papua Yeni Gine’yi hedef alan, CVE-2023-38831 istismarını içeren ve bir arka kapının indirilmesine yol açan bir ZIP arşivi içeren yakın tarihli bir kimlik avı kampanyasının, Çin bağlantılı hükümet destekli gruplar tarafından başlatıldığını söylüyor.
Google analistleri, “En gelişmiş saldırganlar bile yalnızca hedeflerine ulaşmak için gerekli olanı yapacaktır” dedi. Açıkçası, bu tehdit aktörleri kritik yamalar konusunda geride kalan kuruluşlara güveniyor.