Пророссийские хакерские группы воспользовались недавно обнаруженной уязвимостью безопасности в утилите архивирования WinRAR в рамках фишинговой кампании, направленной на сбор учетных данных из скомпрометированных систем. В этой статье разберем атаку подробнее.


Особенности атаки
«Атака включает в себя использование вредоносных архивных файлов, использующих недавно обнаруженную уязвимость, затрагивающую версии программного обеспечения для сжатия WinRAR до 6.23 и отслеживаемую как CVE-2023-38831», — говорится в отчете Cluster25, опубликованном на прошлой неделе.

Архив содержит заминированный PDF-файл, при нажатии на который включается пакетный сценарий Windows, который запускает команды PowerShell для открытия обратной оболочки, предоставляющей злоумышленнику удаленный доступ к целевому хосту.

Также развернут скрипт PowerShell, который крадет данные, включая учетные данные для входа, из браузеров Google Chrome и Microsoft Edge. Захваченная информация передается через сайт веб-перехватчика.

Откуда появилась уязвимость
CVE-2023-38831 относится к серьезной уязвимости в WinRAR, которая позволяет злоумышленникам выполнить произвольный код при попытке просмотреть безопасный файл в ZIP-архиве. Выводы Group-IB в августе 2023 года показали, что с апреля 2023 года эта ошибка использовалась как оружие нулевого дня в атаках, нацеленных на трейдеров.

Это событие произошло после того, как компания Mandiant, принадлежащая Google, составила график «быстро развивающихся» фишинговых операций российского государственного субъекта APT29, нацеленных на дипломатические учреждения, на фоне резкого роста темпов и акцента на Украине в первой половине 2023 года.

Существенные изменения в инструментах и методах работы APT29 «вероятно, предназначены для поддержки увеличения частоты и объема операций и затруднения судебно-медицинского анализа», заявила компания, и что она «одновременно использовала различные цепочки заражения в разных операциях».


Были ли еще подобные атаки
В июле 2023 года Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) обвинила Turla в атаках с использованием вредоносного ПО Capibar и бэкдора Kazuar для шпионских атак на украинские оборонительные объекты.

«Группа Turla — стойкий противник с долгой историей деятельности. Их происхождение, тактика и цели указывают на хорошо финансируемую операцию с высококвалифицированными оперативниками», — сообщила Trend Micro в недавнем отчете. «Turla на протяжении многих лет постоянно развивала свои инструменты и методы и, вероятно, продолжит их совершенствовать».