RARLabs Kusuru Düzeltirken ‘Birçok Kullanıcı’ Yazılımı Güncellemiş Görünmüyor
Mathew J. Schwartz (euroinfosec) •
18 Ekim 2023
Rus ordusunun Ukrayna’ya yönelik saldırıları da dahil olmak üzere güvenlik uzmanları, ulus devlet korsanlarının dosyaları arşivlemek için kullanılan popüler bir Windows aracı olan WinRAR’daki bir güvenlik açığını hedef aldığı konusunda uyarıyor.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Ulus devlet hackleme kampanyalarını izleyen Google’ın Tehdit Analiz Grubu Çarşamba günü yaptığı açıklamada, “son haftalarda” Çin ve Rusya da dahil olmak üzere birçok ülkeden gelen “hükümet destekli hack gruplarının” hatayı hedef aldığını gördüğünü söyledi. Satıcı RARLabs 11 hafta önce bir yama yayınladı ancak “birçok kullanıcı hâlâ savunmasız görünüyor.”
TAG’ın bu kusurdan yararlandığını gördüğü ulus devlet grupları arasında, “drone operatörü eğitim müfredatı” içerdiği iddia edilen sahte bir PDF belgesiyle Ukrayna enerji sektörüne karşı bir kimlik avı kampanyası yürüten Rusya’nın bir GRU askeri istihbarat birimi olan Kum Solucanı hackleme ekibi de yer alıyor. Ukrayna enerji altyapısı Rus bilgisayar korsanlarının ana odak noktası olmuştur (bkz: WinRAR, Ukrayna Kamu Sektörüne Yapılan Saldırılar İçin Silahlandırıldı).
TAG’ın Çin’e atfettiği başka bir kimlik avı kampanyası, kötü amaçlı yazılıma yol açan Dropbox bağlantılarıyla Papua Yeni Ginelileri hedef aldı.
Saldırganlar tarafından istismar edilen ve CVE-2023-38831 olarak takip edilen güvenlik açığı, WinRAR yazılımının nasıl işlediğine odaklanıyor .zip Dosyalar. Saldırganlar bu süreci bozabilir, böylece kullanıcı bir dosyayı açmak için çift tıkladığında bunun yerine kötü amaçlı yazılım açar.
Satıcı RARLabs, şu anda devlete bağlı bilgisayar korsanlarının hedefi olan güvenlik açığı da dahil olmak üzere birçok güvenlik açığını düzeltmek için 2 Ağustos’ta WinRAR sürüm 6.23’ü yayımladı. ZDI ile çalışan Trend Micro’nun Zero Day Initiative’ine göre, saldırganların bir kullanıcıyı “kötü amaçlı bir sayfaya yönlendirebilmeleri veya kötü amaçlı bir dosyayı açabilmeleri” koşuluyla, kendi seçtikleri kodu uzaktan kullanmalarına olanak tanıyan CVE-2023-40477 de düzeltildi. araştırmacı “güle güle” diyerek kusuru RARLabs’a bildirdi.
Çoklu Ulus-Devlet Kampanyaları
Google, CVE-2023-38831’i kullanan gelişmiş kalıcı tehdit gruplarının en az dört saldırısını takip ettiğini ve kusurla ilgili haberlerin birden fazla hedefe yönelik olarak kamuoyuna duyurulmasından bu yana başlatıldığını bildirdi:
- Ukrayna enerji sektörü: FrozenBarents olarak da bilinen ve GRU askeri istihbarat teşkilatı tarafından yürütülen Rusya’nın Sandworm hack grubuna atfedilen bir kimlik avı kampanyasında, Rhadamanthys bilgi hırsızlığı yapan kötü amaçlı yazılımın paketlenmiş bir versiyonu olan yüke yol açan drone operatörlerinin eğitimi hakkında bir tuzak mesaj kullanıldı. Kullanıma hazır bilgi hırsızı şifreleri, tarayıcı kimlik bilgilerini ve daha fazlasını çalabilir ve ayda 250 $ gibi düşük bir ücret karşılığında hizmet olarak kiralanabilir.
- Ukrayna hükümet kuruluşları: Rusya’nın Cosy Bear ve FrozenLake olarak da bilinen ve muhtemelen GRU tarafından yönetilen APT28 bilgisayar korsanlığı grubu, Ukraynalı bir kamu politikası düşünce kuruluşu tarafından düzenlenen sanal bir etkinliğe sözde bir davet kullanarak 4 Eylül’de bir kimlik avı kampanyası başlattı. “İlk sayfa, kullanıcıları tarayıcı kontrolleri yapmak ve bir sonraki aşamaya yönlendirmek için kullanıcıları bir maket sitesine yönlendiriyordu; bu, ziyaretçinin Ukrayna’daki bir IPv4 adresinden geldiğinden emin olacak ve kullanıcıdan CVE-2023-38831 içeren bir dosyayı indirmesini isteyecekti. istismar” dedi Google.
- Ukrayna enerji altyapısı: İlk kez Temmuz ayı sonlarında görülen ve ücretsiz bir test hizmeti olan webhook web sitesi aracılığıyla dağıtılan bir APT28 saldırısı, Ağustos ayı başlarında CVE-2023-38831’i de hedef alacak şekilde güncellendi.
- Papua Yeni Gine: Google’ın IslandDreams olarak takip ettiği Çin uyumlu APT40, ağustos ayının sonlarında Papua Yeni Gine’deki mağdurları, istismarın ekleri olarak şifreyle korunan ve açılamayan sahte bir PDF içeren kimlik avı e-postaları aracılığıyla hedef aldı.
.lnkyükü yüklemek üzere ayarlanmış dosya.dllsabit kodlanmış bir IP adresi aracılığıyla veya başka bir dosya paylaşım sitesinden. Başarılı olması durumunda, saldırının son aşamasına geçildi; bu adım, kurbanın sistemlerine, Dropbox API aracılığıyla saldırganların botnet komut ve kontrol ağına bağlanan, .NET için bir bellek içi arka kapı olan BoxRat’ın kurulmasını hedefliyordu.
Google TAG, “WinRAR hatasının yaygın şekilde kullanılması, bilinen güvenlik açıklarından yararlanmanın, bir yama mevcut olmasına rağmen son derece etkili olabileceğini vurgulamaktadır” dedi (bkz: Yama Bilmecesi: 5 Yaşındaki Kusur Yine En Çok Vurulanlar Listesinin Başında).
Sıfır Gün Saldırıları Yatırımcıları Hedef Alıyor
Siber güvenlik firması Group-IB’ye göre bilgisayar korsanları, finansal yatırımcıları hedef alan saldırılar için CVE-2023-38831’i ilk kez Nisan ayında kullanmaya başladı. Firma, RARLab’ları bu kusur konusunda özel olarak uyardığını, geliştiricileriyle irtibat kurduğunu ve ardından satıcı yazılımını bir yama ile güncelleyene kadar güvenlik açığını kamuya açık bir şekilde detaylandırmayı beklediğini söyledi.
Group-IB’den kötü amaçlı yazılım analisti Andrey Polovinkin, 23 Ağustos tarihli bir blog yazısında, bu güvenlik açığının zaten sıfır gün saldırıları yoluyla kullanıldığı göz önüne alındığında, “tüm kullanıcılara WinRAR’ın en son sürümünü yüklemelerini şiddetle tavsiye ediyoruz” dedi. kusuru detaylandırdı. Group-IB, saldırganların kripto para birimine ve menkul kıymet tüccarlarının hesaplarına doğrudan erişim sağlamak için bunu istismar ettiğini ve bunun da bilinmeyen miktarda kayba yol açtığını söyledi.
Group-IB’nin uyarısını yayınlamasının ardından çok sayıda başka saldırgan da hızla bu kusura odaklandı.
Google, “Blog yazısının yayınlanmasından saatler sonra, kavramların kanıtları ve istismar oluşturucular halka açık GitHub depolarına yüklendi” dedi. “Bundan kısa bir süre sonra TAG, CVE-2023-38831 ile deney yapan hem mali motivasyonlu hem de APT aktörlerinin test faaliyetlerini gözlemlemeye başladı.”
Group-IB, gördüğü sıfır gün saldırılarında, bilgisayar korsanlarının bu güvenlik açığını, kötü amaçlı komut dosyalarını meşru dosya türleri gibi göstermek için kullandıkları konusunda uyardı. .jpg Ve .txt sıkıştırılmış WinRAR klasörlerinin içinde herhangi bir dosya biçimini kullanabilmelerine rağmen komut dosyaları DarkMe, GuLoader ve Remcos RAT gibi kötü amaçlı yazılımlar yüklüyordu.
Uyarı: WinRAR Otomatik Güncellenmiyor
WinRAR yazılımı herhangi bir otomatik güncelleme özelliği içermediğinden, kullanıcıların yazılımı güncellemek için manuel olarak indirmeleri ve yükleyiciyi çalıştırmaları gerekir. Yaklaşık 10 yıl öncesinden başlayarak, işletim sistemi üreticileri Windows ve Apple, tarayıcı üreticileri, Java ve Flash eklentileriyle Adobe gibi eklenti geliştiricileri de dahil olmak üzere yaygın olarak kullanılan yazılımların birçok satıcısı, bu tür yazılımları otomatik olarak güncelleme yeteneğini geliştirmeye başladı. .
2016 yılına gelindiğinde uzmanlar, yaygın olarak kullanılan birçok yazılım parçasında otomatik güncelleme yapılmasının yanı sıra bazı eski yazılım türlerinin zorla kaldırılması veya engellenmesinin, saldırganlar tarafından otomatik istismar kitlerinin kullanımında çarpıcı bir düşüşe yol açtığını bildirdi.
Google TAG, “WinRAR hatasını kullanan bu son kampanyalar, yama uygulamasının öneminin altını çiziyor ve kullanıcıların yazılımlarını güvenli ve güncel tutmasını kolaylaştırmak için hala yapılması gereken işler olduğunu gösteriyor.” dedi.