Σύμφωνα με τη Google, διάφορες ομάδες χακερ υποστηριζόμενες από κράτη έχουν επιδοθεί σε συνεχιζόμενες επιθέσεις, εκμεταλλευόμενες μια ευπάθεια υψηλής σοβαρότητας στο WinRAR, ένα λογισμικό συμπίεσης που χρησιμοποιείται από πάνω από 500 εκατομμύρια χρήστες, με στόχο την απόκτηση αυθαίρετης εκτέλεσης κώδικα στα συστήματα των στόχων.

Δείτε επίσης: Ψεύτικο WinRAR proof-of-concept exploit κάνει drop το VenomRAT malware

Ο Ομάδα Ανάλυσης Απειλών (Threat Analysis Group – TAG) της Google, ένα σύνολο ειδικών ασφαλείας που προστατεύουν τους χρήστες της Google από επιθέσεις που υποστηρίζονται από κράτη, έχει εντοπίσει ότι κρατικοί χάκερ από αρκετές χώρες στοχεύουν το σφάλμα, συμπεριλαμβανομένων των ομάδων απειλών Sandworm, APT28 και APT40 από τη Ρωσία και την Κίνα.

Σε μια επίθεση στις αρχές Σεπτεμβρίου, ρωσικοί χάκερ της Sandworm διένειμαν το κακόβουλο λογισμικό Rhadamanthys infostealer μέσω επιθέσεων ψευδών προσκλήσεων για μια ουκρανική σχολή εκπαίδευσης τηλεκατευθυνόμενων αεροσκαφών.

Μια άλλη ομάδα ρωσικών χάκερ, γνωστή ως ATP28, επιτέθηκε σε χρήστες από την Ουκρανία με εκμετάλλευση των CVE-2023-38831 που φιλοξενούνταν σε διακομιστές που παρέχονταν από έναν δωρεάν πάροχο φιλοξενίας. Κατά τη διάρκεια αυτής της επίθεσης, οι κακόβουλοι παράγοντες χρησιμοποίησαν ένα κακόβουλο PowerShell script (IRONJAW) για να κλέψουν διαπιστευτήρια προγραμμάτων περιήγησης.

Επιπλέον, οι κινεζικοί χάκερ της APT40 εκμεταλλεύονται το ευπάθεια του WinRAR σε επιθέσεις κατά στόχων στην Παπούα Νέα Γουινέα. Χρησιμοποίησαν τα ISLANDSTAGER και BOXRAT, για να διατηρήσουν την επιμονή στα συστήματα που έχουν υποστεί παραβίαση.

Η ευπάθεια CVE-2023-38831 του WinRAR έχει χρησιμοποιηθεί ενεργά ως zero-day τουλάχιστον από τον Απρίλιο του 2023, επιτρέποντας σε απειλητικούς παράγοντες να εκτελέσουν κώδικα στα συστήματα των θυμάτων τους, απατώντας τους να ανοίξουν κακόβουλα δημιουργημένες αρχειοθήκες RAR και ZIP που περιέχουν παγιδευμένα αρχεία παραπλανητικής φύσης.

Δείτε ακόμα: Οι χάκερ εκμεταλλεύονται ένα zero-day bug WinRAR για να στοχεύσουν crypto-επενδυτές

Από τον Απρίλιο, το σφάλμα έχει χρησιμοποιηθεί για την παράδοση μιας ευρείας γκάμας αποθετών κακόβουλου λογισμικού, συμπεριλαμβανομένων των DarkMe, GuLoader και Remcos RAT.

Οι ερευνητές της Group-IB ανακάλυψαν περιπτώσεις εκμετάλλευσης που στοχεύουν σε φόρουμ για κρυπτονομίσματα και αγορές μετοχών. Μέσα σε λίγες ώρες από τη δημοσίευση των ευρημάτων από την ομάδα Group-IB, proof of concept της εκμετάλλευσης άρχισαν να εμφανίζονται σε δημόσια αποθετήρια του GitHub

, οδηγώντας άμεσα σε αυτό που η ομάδα Google TAG περιγράφει ως “δραστηριότητα δοκιμής” του CVE-2023-38831 από ομάδες χάκερ με οικονομικά κίνητρα και APT.

Άλλες εταιρείες κυβερνοασφάλειας έχουν επίσης συνδέσει επιθέσεις που εκμεταλλεύονται αυτό το WinRAR με διάφορες άλλες ομάδες απειλών, συμπεριλαμβανομένης της DarkPink (NSFOCUS) και της Konni (Knownsec).

Το zero-day διορθώθηκε με την έκδοση του WinRAR 6.23 στις 2 Αυγούστου, η οποία επίσης αντιμετώπισε αρκετά άλλα προβλήματα ασφαλείας. Ένα από αυτά είναι το CVE-2023-40477, ένα σφάλμα που μπορεί να εκμεταλλευτεί για να ενεργοποιήσει την εκτέλεση εντολών μέσω ειδικά διαμορφωμένων αρχείων RAR.

Δείτε επίσης: Sandworm: Χρησιμοποίησε WinRAR για την καταστροφή δεδομένων μιας ουκρανικής κρατικής υπηρεσίας

Οι χάκερ που χρησιμοποιούν αυτήν την εκμετάλλευση μπορούν να πραγματοποιήσουν επιθέσεις με μεγάλο βαθμό σοβαρότητας. Μπορούν να εκτελέσουν κακόβουλο λογισμικό στον υπολογιστή του θύματος, παραβλέποντας τα συστήματα ασφαλείας και τις προστασίες που έχουν υλοποιηθεί. Αυτό δεν οδηγεί μόνο σε προσωπικές παραβιάσεις απορρήτου, αλλά και σε σημαντικές επιθέσεις στην ασφάλεια των δικτύων.

Η κατάχρηση του WinRAR δημιουργεί μια πληθώρα προβλημάτων, τα οποία προκαλούν ανησυχία τόσο στους μεμονωμένους χρήστες όσο και στην ευρύτερη κοινότητα της πληροφορικής. Τα προβλήματα αυτά περιλαμβάνουν: 

  1. Παραβίαση της ασφάλειας των δεδομένων των χρηστών
  2. Εκτέλεση κακόβουλου λογισμικού χωρίς την ενημέρωση του χρήστη
  3. Εισβολή στα εταιρικά δίκτυα και παραβίαση των πρωτοκόλλων ασφάλειας τους

Συνεπώς, είναι απολύτως κρίσιμη η ενημέρωση των χρηστών για τους κινδύνους που συνεπάγεται η χρήση του WinRAR και την ανάγκη για αναβάθμιση των διαθέσιμων εκδόσεων του λογισμικού σε πιο ασφαλείς εκδόσεις.

Πηγή: bleepingcomputer