多个黑客组织利用 WinRAR 漏洞(CVE-2023-38831)攻击敏感目标

谷歌威胁分析小组 (TAG) 的威胁分析猎手表示，在补丁发布三个多月后，来自不同国家官方背景的黑客组织正在利用流行的WinRAR 漏洞（CVE-2023-38831）。

WinRAR 代码执行漏洞（CVE-2023-38831）于 7 月份在检测到0day漏洞利用后得到修复，但三个月后的现在，谷歌表示，有官方背景的 APT 组织仍在成功利用该漏洞。

“网络犯罪团伙于 2023 年初开始利用该漏洞，当时防御者还不知道该漏洞。现在已经有了补丁，但许多用户似乎仍然容易受到攻击。”谷歌的 Kate Morgan 在记录 APT 发现的说明中说道。“漏洞被修补后，攻击者将继续依赖 n 天并利用缓慢的修补速度来获取优势。”

Morgan 表示，该漏洞至少自 2023 年 4 月起就已为人所知，并立即引起了黑客组织的兴趣，该缺陷允许攻击者在用户尝试查看 ZIP 存档中的良性文件（例如普通 PNG 文件）时执行任意代码。

“[关于0day漏洞利用] 的博文（https://blog.google/threat-analysis-group/government-backed-actors-exploiting-winrar-vulnerability/）发布几小时后，概念验证和漏洞利用生成器就被上传到公共 GitHub 存储库。此后不久，TAG 开始观察出于经济动机和 APT 参与者尝试 CVE-2023-38831 的测试活动。”Morgan 补充道。

在一个案例中，TAG 研究人员表示，他们看到一个名为 FROZENBARENTS 的俄罗斯黑客组织（据称位于俄罗斯武装部队总参谋部 (GRU) 74455 部队内）于 9 月 6 日发起了一封电子邮件活动，试图冒充乌克兰无人机作战训练学校。

该电子邮件以加入学校的邀请为诱饵，包含指向良性 PDF 文档的链接和利用 CVE-2023-38831 的恶意 ZIP 文件。

该有效负载附带了名为 Rhadamanthys 的恶意软件，该恶意软件允许黑客窃取浏览器凭据和会话信息等。

FROZENBARENTS 在今年早些时候谷歌团队追踪的其他攻击中通常没有使用这种信息窃取器。

谷歌的报告指出，9 月 4 日，CERT-UA 的乌克兰网络安全官员警告称，GRU 正在使用 CVE-2023-38831 传播针对能源基础设施的恶意软件。

谷歌表示，它还发现与某国背景的黑客组织利用 WinRAR 漏洞对巴布亚新几内亚的目标进行有针对性的网络钓鱼攻击。

这些电子邮件包含一个 Dropbox 链接，其中包含恶意 ZIP 存档，其中包含诱饵 PDF。ZIP 存档包含 ISLANDSTAGER，这是黑客开发的一种工具，用于保持对被利用系统的访问。

“WinRAR 漏洞的广泛利用凸显出，尽管有补丁可用，但对已知漏洞的利用可能非常有效。即使是最老练的攻击者也只会做实现其目标所必需的事情。”Morgan警告说。

WinRAR 工具中的软件安全漏洞不断成为网络犯罪分子和 APT 组织的目标。SecurityWeek 最近报道了多起 WinRAR 漏洞利用事件，其中包括出于经济动机的黑客针对交易者和 .gov 支持的高级威胁行为者的利用事件。

参考链接：https://www.securityweek.com/three-months-after-patch-gov-backed-actors-exploiting-winrar-flaw/