安全研究人员发现,知名档案压缩软体WinRAR稍早被发现的零时差漏洞,之后仍然被俄罗斯及中国国家骇客滥用发动攻击。
安全厂商Group-IB 7月侦测到,WinRAR编号CVE-2023-38831的漏洞遭骇客滥用,用以散布DarkMe等恶意程式。攻击者可以制作恶意.ZIP或.RAR压缩档,当中包含无害档案(例如.jpg、.txt或PDF档等)及恶意执行档,并以无害档名为资料夹命名。当使用者点击并试图解压缩看似合法的档案时,即被安装恶意程式。安全厂商侦测到,CVE-2023-38831最早从今年4月开始被滥用,针对加密货币交易用户进行攻击,旨在感染装置取得交易平台帐密,借以窃取财物。WinRAR维护单位RARLab在接获安全厂商通报后,已在7月20日发布WinRAR 6.23版本解决本漏洞,也呼吁用户应尽速更新到最新版本。
尚未修补的用户要格外留意了,因为Google威胁分析小组(Threat Analysis Group,TAG)接连侦测到三组国家骇客持续在滥用CVE-2023-38831。首先是FROZENBARENTS,它隷属于俄罗斯军方,又称为Sandworm。Sandworm/Frozenbarents目标向来是政府、国防、能源、运输等组织。9月初这个组织散发假冒乌克兰无人机军事训练学校的招生邮件以散布恶意档案(下图)。Sandworm罕见地使用恶意程式即服务Rhadamanthys进行攻击。不知情的用户点击压缩档后会被安装窃密程式Rhadamanthys,后者会搜集受害者电脑中的浏览器帐密及会话资讯。
图片来源_Google
TAG另于9月初侦测到称为FrozonLake(又称为FancyBear)的骇客组织针对乌克兰政府官员发动精准网钓攻击,目标在攻击该国能源基础架构。FrozonLake/FancyBear发送冒充乌克兰智库的信件,将其导向代管于免费供应商的网站,并诱使其下载恶意压缩档。开启压缩档会导致执行名为Ironjaw的PowerShell脚本程式,窃取浏览器登入资料,以及本机状态目录内的资料。
图片来源_Google
Google研究人员也观察到中国国家骇客Islanddreams,即APT 40,于8月底滥用CVE-2023-38831网钓攻击巴布亚纽几内亚用户。一旦用户点击恶意压缩档,即会执行并于电脑记忆体中安装.NET后门程式Boxrat,借此在受害者电脑长期潜伏以渗透攻击。APT40隷属于中国海南省,目标通常是对「一带一路」计划有影响力的国家,然也会锁定各国政府赞助的专案。不过Google未说明这次APT 40的攻击目标。