iThome
本次上榜漏洞中,有一项非出现在企业的IT应用系统或设备,而是广泛使用的压缩软体WinRAR,这项漏洞就是CVE-2023-38831。
揭露这件事的资安业者是Group-IB,他们在2023年7月初调查恶意软体DarkMe散布过程当中,发现骇客运用过往未曾揭露的漏洞,这群歹徒在地下论坛号称,借由特制的ZIP压缩档,能为买家散布指定的恶意程式。经过研究人员的进一步调查,发现骇客在4月就开始利用这项漏洞。
经过验证,研究人员确认漏洞发生在WinRAR存取ZIP档的过程,并且通报至此软体的开发厂商Rarlab,该公司于7月20日发布测试版WinRAR 6.23修补,正式版软体于8月2日推出,23日Group-IB公布漏洞细节。
究竟这个漏洞造成多大危害,目前仍不得而知,但自2023年8月下旬公布后,与俄罗斯、中国、巴基斯坦有关的多个国家级骇客组织,皆传出将其用于发动网路钓鱼攻击行动的情况。
根据iThome的2023年资安新闻报导,总共有多达11篇文章与这项漏洞有关,数量仅次于MOVEit Transfer漏洞CVE-2023-34362。
虽然这项漏洞仅被列为高风险层级,CVSS风险评分为7.8,但考量到WinRAR在全球有超过5亿用户,加上该漏洞又相当容易利用,雪上加霜的是,WinRAR本身并未内建自动更新机制,如果使用者未留意软体改版资讯,很有可能因为持续使用存在漏洞的旧版软体,而在不知不觉之间,成为骇客寄生攻击(LOLBin)利用对象,因此,我们将其列为年度第3大漏洞。
漏洞发现源于骇客作案工具的地下交易
这项漏洞之所以发现,源于研究人员在监控骇客论坛时,看到出售未知漏洞利用工具的情况。
资安业者Group-IB在调查恶意软体DarkMe的过程当中,发现骇客自今年4月开始,制作恶意的ZIP、RAR压缩档,并在网路犯罪交易论坛上兜售。
这些压缩档内有看似无害的JPG图档,或PDF、TXT文档,一旦有人以WinRAR开启,攻击者会借由CVE-2023-38831执行指令码,于电脑部署恶意软体DarkMe、GuLoader,以及Remcos RAT。
研究人员看到骇客利用上述手法,在加密货币论坛、股票交易论坛发动攻击,声称分享投资策略,至少8个论坛出现相关讨论,130个投资人的电脑遭恶意程式感染,但实际受害人数与损失金额不明。
资安业者Group-IB指出,攻击者制作能利用CVE-2023-38831的ZIP压缩档,一旦使用者透过WinRAR开启,并直接开启压缩档里的图档就有可能中招,电脑会触发漏洞,执行恶意指令码。(图片来源/Group-IB)
国家级骇客组织加入漏洞利用行列
事隔2个月,开始有研究人员发现,国家级骇客也将这项漏洞纳入攻击流程。
资安业者DuskRise指出,俄罗斯骇客骇客假借提供入侵指标的相关资料为诱饵,利用这项漏洞发动攻击。
接著,Google旗下的威胁情报小组(TAG)揭露更多发现,因为他们侦测到俄罗斯骇客组织Sandworm、APT28,以及中国骇客组织APT40的攻击行动。
Sandworm于9月初假借乌克兰无人机军事训练招生的名义寄送钓鱼邮件,散布窃资软体Rhadamanthys,收集浏览器帐密及连线阶段资讯;APT28则是针对乌克兰政府官员下手,假冒智库发送钓鱼信,攻击该国能源基础设施,引诱下载恶意压缩档,于受害电脑植入PowerShell指令码Ironjaw;而对于APT40的漏洞攻击行动,该组织针对巴布亚纽几内亚的民众散布钓鱼邮件,信件内容包含Dropbox下载连结,若依里面的指示开启网址,会取得含有上述漏洞的ZIP压缩档,有可能导致电脑被感染后门程式Boxrat。
资安业者Seqrite揭露巴基斯坦骇客组织SideCopy的攻击行动,这些骇客锁定印度,积极利用CVE-2023-38831,散布AllaKore RAT、DRat等恶意软体。
后来,乌克兰也对俄罗斯骇客APT29的攻击行动提出警告,指出在11月的攻击行动里,对方统合原本手法及新技术,滥用应用程式交付平台Ngrok提供的免费静态网域功能,架设C2伺服器,然后他们也在恶意压缩档运用WinRAR漏洞。
微软、IBM不约而同在12月初,针对APT28的攻击行动提出警告。
微软指出,对方锁定美国、欧洲、中东的政府机关、运输业,以及非政府组织,企图用多种资安漏洞发动攻击,存取Exchange伺服器上的电子邮件信箱帐号,其中一个被利用的漏洞就是CVE-2023-38831。
IBM威胁情报团队X-Force表示,APT28使用以巴冲突作为诱饵,假借国际组织名义对13个国家从事网钓攻击,其中有部分骇客利用了这项漏洞。