Google TAG phát hiện các tác nhân đe dọa khai thác lỗ hổng WinRAR

www.tuoitre.vn -   18/10/2023 08:00:00 90

Một số tác nhân đe dọa được nhà nước hậu thuẫn từ Nga và Trung Quốc đã được quan sát thấy đang khai thác lỗ hổng bảo mật gần đây trong công cụ lưu trữ WinRAR dành cho Windows như một phần hoạt động của chúng.

Google TAG phát hiện các tác nhân đe dọa khai thác lỗ hổng WinRAR

Lỗ hổng được đề cập là CVE-2023-38831 (điểm CVSS: 7,8), cho phép kẻ tấn công thực thi mã tùy ý khi người dùng cố gắng xem tệp lành tính trong kho lưu trữ ZIP. Thiếu sót đã được khai thác tích cực ít nhất từ tháng 4 năm 2023.

Nhóm phân tích mối đe dọa của Google (TAG), đã phát hiện các hoạt động trong những tuần gần đây, quy chúng thành ba cụm khác nhau mà nhóm theo dõi với các biệt danh địa chất FROZENBARENTS (còn gọi là Sandworm), FROZENLAKE (còn gọi là APT28) và ISLANDDREAMS (còn gọi là APT40).

Cuộc tấn công lừa đảo có liên quan đến Sandworm đã mạo danh một trường huấn luyện chiến tranh bằng máy bay không người lái của Ukraine vào đầu tháng 9 và phát tán tệp ZIP độc hại khai thác CVE-2023-38831 để phát tán Rhadamanthys, một phần mềm độc hại đánh cắp hàng hóa được rao bán với giá 250 USD cho một thuê bao hàng tháng.

APT28, cũng liên kết với Tổng cục Chính của Bộ Tổng tham mưu Lực lượng Vũ trang Liên bang Nga (GRU) như trường hợp của Sandworm, được cho là đã phát động một chiến dịch email nhắm vào các tổ chức chính phủ ở Ukraine.

Trong các cuộc tấn công này, người dùng từ Ukraine được nhắc tải xuống tệp có chứa mã khai thác CVE-2023-38831 – một tài liệu giả mạo dưới dạng lời mời tham dự sự kiện từ Trung tâm Razumkov, một tổ chức tư vấn chính sách công ở nước này.

Kết quả là việc thực thi tập lệnh PowerShell có tên IRONJAW nhằm đánh cắp dữ liệu đăng nhập trình duyệt và các thư mục trạng thái cục bộ rồi xuất thông tin sang cơ sở hạ tầng do tác nhân kiểm soát trên trang web webhook[.].

Tác nhân đe dọa thứ ba khai thác lỗi WinRAR là APT40, nhóm này đã phát động một chiến dịch lừa đảo nhắm vào Papua New Guinea, trong đó các email bao gồm liên kết Dropbox tới kho lưu trữ ZIP chứa lỗ hổng CVE-2023-38831.

Trình tự lây nhiễm cuối cùng đã mở đường cho việc triển khai một dropper có tên ISLANDSTAGER chịu trách nhiệm tải BOXRAT, một backdoor .NET sử dụng API Dropbox để ra lệnh và kiểm soát.

Tiết lộ này được xây dựng dựa trên những phát hiện gần đây từ Cluster25, trong đó nêu chi tiết các cuộc tấn công do nhóm hack APT28 thực hiện, khai thác lỗ hổng WinRAR để tiến hành các hoạt động thu thập thông tin xác thực.

Theo phát hiện từ nhóm Knownsec 404 và NSFOCUS, một số đối thủ do nhà nước bảo trợ khác đã tham gia vào cuộc cạnh tranh là Konni (có chung điểm trùng lặp với cụm của Triều Tiên được theo dõi là Kimsuky) và Dark Pink (còn gọi là Saaiwc Group).

Nhà nghiên cứu Kate Morgan của TAG cho biết: “Việc khai thác rộng rãi lỗi WinRAR cho thấy việc khai thác các lỗ hổng đã biết có thể mang lại hiệu quả cao, mặc dù đã có bản vá”. “Ngay cả những kẻ tấn công tinh vi nhất cũng sẽ chỉ làm những gì cần thiết để đạt được mục tiêu của chúng.”

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 82
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 74
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 198
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 160
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 44
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...

Chatbot AI nào thông minh nhất hiện nay?

28/03/2024 12:00:00 35
ChatGPT bị soán ngôi, không còn là chatbot AI thông minh nhất hiện nay.
Xem thêm

LIÊN HỆ

Thông tin liên hệ