Google TAG phát hiện các tác nhân đe dọa khai thác lỗ hổng WinRAR

www.tuoitre.vn -   18/10/2023 08:00:00 223

Một số tác nhân đe dọa được nhà nước hậu thuẫn từ Nga và Trung Quốc đã được quan sát thấy đang khai thác lỗ hổng bảo mật gần đây trong công cụ lưu trữ WinRAR dành cho Windows như một phần hoạt động của chúng.

Google TAG phát hiện các tác nhân đe dọa khai thác lỗ hổng WinRAR

Lỗ hổng được đề cập là CVE-2023-38831 (điểm CVSS: 7,8), cho phép kẻ tấn công thực thi mã tùy ý khi người dùng cố gắng xem tệp lành tính trong kho lưu trữ ZIP. Thiếu sót đã được khai thác tích cực ít nhất từ tháng 4 năm 2023.

Nhóm phân tích mối đe dọa của Google (TAG), đã phát hiện các hoạt động trong những tuần gần đây, quy chúng thành ba cụm khác nhau mà nhóm theo dõi với các biệt danh địa chất FROZENBARENTS (còn gọi là Sandworm), FROZENLAKE (còn gọi là APT28) và ISLANDDREAMS (còn gọi là APT40).

Cuộc tấn công lừa đảo có liên quan đến Sandworm đã mạo danh một trường huấn luyện chiến tranh bằng máy bay không người lái của Ukraine vào đầu tháng 9 và phát tán tệp ZIP độc hại khai thác CVE-2023-38831 để phát tán Rhadamanthys, một phần mềm độc hại đánh cắp hàng hóa được rao bán với giá 250 USD cho một thuê bao hàng tháng.

APT28, cũng liên kết với Tổng cục Chính của Bộ Tổng tham mưu Lực lượng Vũ trang Liên bang Nga (GRU) như trường hợp của Sandworm, được cho là đã phát động một chiến dịch email nhắm vào các tổ chức chính phủ ở Ukraine.

Trong các cuộc tấn công này, người dùng từ Ukraine được nhắc tải xuống tệp có chứa mã khai thác CVE-2023-38831 – một tài liệu giả mạo dưới dạng lời mời tham dự sự kiện từ Trung tâm Razumkov, một tổ chức tư vấn chính sách công ở nước này.

Kết quả là việc thực thi tập lệnh PowerShell có tên IRONJAW nhằm đánh cắp dữ liệu đăng nhập trình duyệt và các thư mục trạng thái cục bộ rồi xuất thông tin sang cơ sở hạ tầng do tác nhân kiểm soát trên trang web webhook[.].

Tác nhân đe dọa thứ ba khai thác lỗi WinRAR là APT40, nhóm này đã phát động một chiến dịch lừa đảo nhắm vào Papua New Guinea, trong đó các email bao gồm liên kết Dropbox tới kho lưu trữ ZIP chứa lỗ hổng CVE-2023-38831.

Trình tự lây nhiễm cuối cùng đã mở đường cho việc triển khai một dropper có tên ISLANDSTAGER chịu trách nhiệm tải BOXRAT, một backdoor .NET sử dụng API Dropbox để ra lệnh và kiểm soát.

Tiết lộ này được xây dựng dựa trên những phát hiện gần đây từ Cluster25, trong đó nêu chi tiết các cuộc tấn công do nhóm hack APT28 thực hiện, khai thác lỗ hổng WinRAR để tiến hành các hoạt động thu thập thông tin xác thực.

Theo phát hiện từ nhóm Knownsec 404 và NSFOCUS, một số đối thủ do nhà nước bảo trợ khác đã tham gia vào cuộc cạnh tranh là Konni (có chung điểm trùng lặp với cụm của Triều Tiên được theo dõi là Kimsuky) và Dark Pink (còn gọi là Saaiwc Group).

Nhà nghiên cứu Kate Morgan của TAG cho biết: “Việc khai thác rộng rãi lỗi WinRAR cho thấy việc khai thác các lỗ hổng đã biết có thể mang lại hiệu quả cao, mặc dù đã có bản vá”. “Ngay cả những kẻ tấn công tinh vi nhất cũng sẽ chỉ làm những gì cần thiết để đạt được mục tiêu của chúng.”

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...

03/12/2024 12:00:00 119
Nhiều người đã thử đủ mọi cách, thậm chí chia sẻ ảnh chụp màn hình chứa tin nhắn có tên này hoặc đổi...

Cuộc tấn công Microsoft 365 mới có thể p...

02/12/2024 12:00:00 105
Một cuộc tấn công phishing mới có thể truy cập vào tài khoản Microsoft 365, ngay cả khi mục tiêu đã ...

Người dùng chưa đủ 18 tuổi sẽ không được...

29/11/2024 12:00:00 95
Bộ lọc (filter) làm đẹp là một trong những tính năng quan trọng và gây nghiện cho đa số người dùng n...

Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...

28/11/2024 12:00:00 51
Các nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiế...

Kỹ thuật hack này có thể cách ly may tín...

27/11/2024 12:00:00 42
Để làm được điều đó, hacker sử dụng cáp SATA như là một ăng-ten không dây để truyền dữ liệu và thông...

Tính năng Email được bảo vệ mới của Gmai...

26/11/2024 08:00:00 42
Google đang chuẩn bị một tính năng mới có tên là Shielded Email cho phép người dùng tạo bí danh emai...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button