Google TAG phát hiện các tác nhân đe dọa khai thác lỗ hổng WinRAR
Một số tác nhân đe dọa được nhà nước hậu thuẫn từ Nga và Trung Quốc đã được quan sát thấy đang khai thác lỗ hổng bảo mật gần đây trong công cụ lưu trữ WinRAR dành cho Windows như một phần hoạt động của chúng.
Lỗ hổng được đề cập là CVE-2023-38831 (điểm CVSS: 7,8), cho phép kẻ tấn công thực thi mã tùy ý khi người dùng cố gắng xem tệp lành tính trong kho lưu trữ ZIP. Thiếu sót đã được khai thác tích cực ít nhất từ tháng 4 năm 2023.
Nhóm phân tích mối đe dọa của Google (TAG), đã phát hiện các hoạt động trong những tuần gần đây, quy chúng thành ba cụm khác nhau mà nhóm theo dõi với các biệt danh địa chất FROZENBARENTS (còn gọi là Sandworm), FROZENLAKE (còn gọi là APT28) và ISLANDDREAMS (còn gọi là APT40).
Cuộc tấn công lừa đảo có liên quan đến Sandworm đã mạo danh một trường huấn luyện chiến tranh bằng máy bay không người lái của Ukraine vào đầu tháng 9 và phát tán tệp ZIP độc hại khai thác CVE-2023-38831 để phát tán Rhadamanthys, một phần mềm độc hại đánh cắp hàng hóa được rao bán với giá 250 USD cho một thuê bao hàng tháng.
APT28, cũng liên kết với Tổng cục Chính của Bộ Tổng tham mưu Lực lượng Vũ trang Liên bang Nga (GRU) như trường hợp của Sandworm, được cho là đã phát động một chiến dịch email nhắm vào các tổ chức chính phủ ở Ukraine.
Trong các cuộc tấn công này, người dùng từ Ukraine được nhắc tải xuống tệp có chứa mã khai thác CVE-2023-38831 – một tài liệu giả mạo dưới dạng lời mời tham dự sự kiện từ Trung tâm Razumkov, một tổ chức tư vấn chính sách công ở nước này.
Kết quả là việc thực thi tập lệnh PowerShell có tên IRONJAW nhằm đánh cắp dữ liệu đăng nhập trình duyệt và các thư mục trạng thái cục bộ rồi xuất thông tin sang cơ sở hạ tầng do tác nhân kiểm soát trên trang web webhook[.].
Tác nhân đe dọa thứ ba khai thác lỗi WinRAR là APT40, nhóm này đã phát động một chiến dịch lừa đảo nhắm vào Papua New Guinea, trong đó các email bao gồm liên kết Dropbox tới kho lưu trữ ZIP chứa lỗ hổng CVE-2023-38831.
Trình tự lây nhiễm cuối cùng đã mở đường cho việc triển khai một dropper có tên ISLANDSTAGER chịu trách nhiệm tải BOXRAT, một backdoor .NET sử dụng API Dropbox để ra lệnh và kiểm soát.
Tiết lộ này được xây dựng dựa trên những phát hiện gần đây từ Cluster25, trong đó nêu chi tiết các cuộc tấn công do nhóm hack APT28 thực hiện, khai thác lỗ hổng WinRAR để tiến hành các hoạt động thu thập thông tin xác thực.
Theo phát hiện từ nhóm Knownsec 404 và NSFOCUS, một số đối thủ do nhà nước bảo trợ khác đã tham gia vào cuộc cạnh tranh là Konni (có chung điểm trùng lặp với cụm của Triều Tiên được theo dõi là Kimsuky) và Dark Pink (còn gọi là Saaiwc Group).
Nhà nghiên cứu Kate Morgan của TAG cho biết: “Việc khai thác rộng rãi lỗi WinRAR cho thấy việc khai thác các lỗ hổng đã biết có thể mang lại hiệu quả cao, mặc dù đã có bản vá”. “Ngay cả những kẻ tấn công tinh vi nhất cũng sẽ chỉ làm những gì cần thiết để đạt được mục tiêu của chúng.”
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...
Cuộc tấn công Microsoft 365 mới có thể p...
Người dùng chưa đủ 18 tuổi sẽ không được...
Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...
Kỹ thuật hack này có thể cách ly may tín...
Tính năng Email được bảo vệ mới của Gmai...
- BLACK FRIDAY khuyến mãi cực sốc – Bảo vệ máy tính ...
- Chương trình Khuyến mãi “Vòng quay may mắn” 2024
- Các mối đe dọa an ninh mạng tại Việt Nam gia tăng ...
- Hướng dẫn cài đặt và kích hoạt Kaspersky For Iphon...
- Các cuộc tấn công ransomware tiếp tục nhắm vào nhi...
- Top 8 phần mềm chatbot AI miễn phí phổ biến hiện n...