一些由政府支持的 APT 正在利用 CVE-2023-38831漏洞,这是 WinRAR 中的一个文件扩展名欺骗漏洞。
CVE-2023-38831 已于 2023 年 8 月与另一个高严重性 RCE 漏洞(CVE-2023-40477)一起被修补。
自2023年4月以来,该漏洞被网络犯罪分子利用为零日,现在也被国家支持的黑客组织所利用。
“的WinRAR的错误的广泛利用突出表明,利用已知的漏洞可以是非常有效的,尽管补丁可用,”谷歌TAG分析师指出。
生成能够触发CVE-2023-38831得ZIP存档得概念验证可在线获取。
网络钓鱼电子邮件携带漏洞
Google的分析师已经标记了几个使用CVE-2023-38831的活动,并共享了与所有这些攻击相关的IOC。
9月初,臭名昭著的“沙虫”黑客冒充乌克兰一所无人机作战训练学校。他们发出的电子邮件中包含了一封加入学校的邀请函和一个诱杀存档文件,当用易受的WinRAR版本解压缩时,该文件也将运行拉达曼蒂信息窃取程序。
大约在同一时间,Fancy Bear(APT28)——据信也是由俄罗斯政府赞助的——针对在能源领域工作的乌克兰人,伪造了乌克兰一家公共政策智库的活动邀请函。
谷歌的研究人员还分析了一个文件(国际奥委会_09_11.rar),该病毒于9月份上传到VirusTotal上,触发了一个PowerShell脚本,窃取浏览器登录数据和本地状态目录。
DuskRise的集群25威胁情报小组的研究人员说,该文件似乎包含针对各种恶意软件的妥协指标(IOCS),但也会触发WinRAR缺陷和启动PowerShell命令,在目标计算机上打开反向外壳,并提取存储在Google Chrome和Microsoft Edge中的登录凭据。
“根据Cluster25的可见性,并考虑到感染链的复杂性,攻击可能与俄罗斯国家资助的APT28组织(又名Fancy Bear,Sednit)有关,”他们补充说。
最后,谷歌表示,最近一次针对巴布亚新几内亚的网络钓鱼活动是由与中国有联系的政府支持的组织发起的,该网络钓鱼活动使用了一个包含CVE-2023-38831漏洞的ZIP文件,并导致后门程序的下载。
的分析师指出:“即使是最老练的攻击者也只会采取必要的行动来完成他们的目标。”显然,这些威胁参与者指望组织在关键补丁方面落后。