Popüler WinRAR arşivleme aracındaki bir güvenlik açığı, ağustos ayında yamalanmış olmasına rağmen devlet aktörleri tarafından istismar ediliyor.
Google’ın Tehdit Analiz Grubu’na (TAG) göre, istismarlar bu yılın başlarında, hata kamuya duyurulmadan önce başladı.
Google TAG’ın tavsiye belgesinde “Şu anda bir yama mevcut ancak birçok kullanıcı hâlâ savunmasız görünüyor” ifadesine yer veriliyor.
“TAG, birçok ülkeden hükümet destekli aktörlerin operasyonlarının bir parçası olarak WinRAR güvenlik açığından yararlandığını gözlemledi.”
TAG, hatanın “hazırlanmış arşivler işlenirken gereksiz geçici dosya genişlemesine neden olan ve boşluk içeren bir uzantıya sahip bir dosyayı açmaya çalışırken Windows’un ShellExecute uygulamasındaki tuhaflıkla birleşen” mantıksal bir güvenlik açığı olduğunu açıklıyor.
“Güvenlik açığı, bir kullanıcı ZIP arşivindeki zararsız bir dosyayı (sıradan bir PNG dosyası gibi) görüntülemeye çalıştığında saldırganların rastgele kod yürütmesine olanak tanıyor.”
Google, Group-IB’nin Nisan ayından bu yana finansal yatırımcılara yönelik istismarlara tanık olduğunu söyledi.
Google TAG tarafından görülen kampanyalar arasında Rusya’daki Sandworm grubunun bir bilgi hırsızı sunmak için Ukrayna’daki bir drone eğitim okulunu taklit etmesi; Rusya’ya atfedilen bir grup olan Frozenlake’in (AKA APT28) Ukrayna altyapısına saldıran bir kampanyası; Frozenlake’ten bir başkası, saldırgan tarafından kontrol edilen bir ters SSH kabuğu oluşturmak için Ironjaw olarak bilinen kötü amaçlı bir PowerShell betiğini dağıtıyor; ve Papua Yeni Gine’deki hedeflere yönelik Çin kaynaklı olduğu anlaşılan bir saldırı.