Rusya ve Çin’den bir dizi devlet destekli tehdit aktörünün, operasyonlarının bir parçası olarak Windows için WinRAR arşivleme aracında yakın zamanda ortaya çıkan bir güvenlik açığından yararlandığı gözlemlendi.
Söz konusu güvenlik açığı CVE-2023-38831’dir (CVSS puanı: 7,8), kullanıcı ZIP arşivindeki zararsız bir dosyayı görüntülemeye çalıştığında saldırganların rastgele kod yürütmesine olanak tanır. Bu eksiklikten en az Nisan 2023’ten bu yana aktif olarak yararlanılıyor.
Son haftalarda etkinlikleri tespit eden Google Tehdit Analiz Grubu (TAG), bunları FROZENBARENTS (diğer adıyla Sandworm), FROZENLAKE (diğer adıyla APT28) ve ISLANDDREAMS (diğer adıyla APT40) jeolojik isimleri altında takip ettiği üç farklı kümeye bağladı.
Sandworm ile bağlantılı kimlik avı saldırısı, Eylül ayı başlarında Ukrayna’daki bir drone savaş eğitim okulunun kimliğine büründü ve aylık abonelik için 250 $ karşılığında satışa sunulan bir emtia hırsızı kötü amaçlı yazılım olan Rhadamanthys’i sunmak için CVE-2023-38831’i kullanan kötü amaçlı bir ZIP dosyası dağıttı.
Kumkurdu örneğinde olduğu gibi Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı’na (GRU) da bağlı olan APT28’in, Ukrayna’daki devlet kurumlarını hedef alan bir e-posta kampanyası başlattığı söyleniyor.
Bu saldırılarda, Ukraynalı kullanıcılardan CVE-2023-38831 istismarını içeren bir dosyayı indirmeleri istendi; bu, ülkedeki bir kamu politikası düşünce kuruluşu olan Razumkov Center’dan bir etkinlik davetiyesi gibi görünen sahte bir belgeydi.
Sonuç, tarayıcı oturum açma verilerini ve yerel durum dizinlerini çalan ve bilgileri webhook üzerindeki aktör kontrollü bir altyapıya aktaran IRONJAW adlı bir PowerShell betiğinin yürütülmesidir.[.]alan.
WinRAR hatasını istismar eden üçüncü tehdit aktörü, Papua Yeni Gine’yi hedef alan ve e-posta mesajlarının CVE-2023-38831 istismarını içeren bir ZIP arşivine bir Dropbox bağlantısı içeren bir kimlik avı kampanyasını başlatan APT40’tır.
Bulaşma dizisi sonuçta komuta ve kontrol için Dropbox API’sini kullanan bir .NET arka kapısı olan BOXRAT’ın yüklenmesinden sorumlu olan ISLANDSTAGER adlı bir damlalığın konuşlandırılmasının yolunu açtı.
Açıklama, kimlik bilgisi toplama operasyonlarını yürütmek için WinRAR kusurundan yararlanan APT28 korsan ekibi tarafından gerçekleştirilen saldırıların ayrıntılarını içeren Cluster25’ten elde edilen son bulgulara dayanıyor.
Knownsec 404 ekibi ve NSFOCUS’un bulgularına göre, mücadeleye katılan diğer devlet destekli rakiplerden bazıları Konni (Kimsuky olarak takip edilen bir Kuzey Kore kümesiyle çakışmaları paylaşan) ve Dark Pink (diğer adıyla Saaiwc Grubu) oldu.
TAG araştırmacısı, “WinRAR hatasının yaygın şekilde kullanılması, bilinen güvenlik açıklarından yararlanmanın, mevcut bir yama olmasına rağmen son derece etkili olabileceğini vurgulamaktadır.”
Kate Morgan dedi. “En gelişmiş saldırganlar bile yalnızca hedeflerine ulaşmak için gerekli olanı yapar.”