Er is waargenomen dat een aantal statelijke dreigingsactoren uit Rusland en China als onderdeel van hun activiteiten misbruik maken van een recente beveiligingsfout in de WinRAR-archiveringstool voor Windows.
De kwetsbaarheid in kwestie is CVE-2023-38831 (CVSS-score: 7,8), waarmee aanvallers willekeurige code kunnen uitvoeren wanneer een gebruiker probeert een goedaardig bestand in een ZIP-archief te bekijken. Van deze tekortkoming wordt in ieder geval sinds april 2023 actief misbruik gemaakt.
Google Threat Analysis Group (TAG), die de activiteiten van de afgelopen weken heeft gedetecteerd, schreef ze toe aan drie verschillende clusters die het volgt onder de geologische namen FROZENBARENTS (ook bekend als Sandworm), FROZENLAKE (ook bekend als APT28) en ISLANDDREAMS (ook bekend als APT40).
De phishing-aanval die verband hield met Sandworm deed zich begin september voor als een Oekraïense opleidingsschool voor drone-oorlogvoering en verspreidde een kwaadaardig ZIP-bestand waarin gebruik werd gemaakt van CVE-2023-38831 om Rhadamanthys af te leveren, een commodity stealer-malware die te koop wordt aangeboden voor $ 250 voor een maandelijks abonnement.
APT28, ook verbonden aan het hoofddirectoraat van de generale staf van de strijdkrachten van de Russische Federatie (GRU), zoals het geval is met Sandworm, zou een e-mailcampagne hebben gelanceerd die zich richtte op overheidsorganisaties in Oekraïne.
Bij deze aanvallen werden gebruikers uit Oekraïne gevraagd een bestand te downloaden met daarin een exploit van CVE-2023-38831 – een lokdocument dat zich voordeed als een uitnodiging voor een evenement van het Razumkov Center, een denktank voor openbaar beleid in het land.
Het resultaat is de uitvoering van een PowerShell-script met de naam IRONJAW dat browseraanmeldingsgegevens en lokale staatsmappen steelt en de informatie exporteert naar een door actoren bestuurde infrastructuur op webhook[.]plaats.
De derde dreigingsactor die misbruik maakt van de WinRAR-bug is APT40, die een phishing-campagne ontketende gericht op Papoea-Nieuw-Guinea, waarbij de e-mailberichten een Dropbox-link bevatten naar een ZIP-archief met daarin de CVE-2023-38831-exploit.
De infectiesequentie maakte uiteindelijk de weg vrij voor de inzet van een dropper genaamd ISLANDSTAGER die verantwoordelijk is voor het laden van BOXRAT, een .NET-achterdeur die de Dropbox API gebruikt voor commando-en-controle
De onthulling bouwt voort op recente bevindingen van Cluster25, waarin gedetailleerde aanvallen worden beschreven die zijn uitgevoerd door de hackers van APT28, waarbij gebruik werd gemaakt van de WinRAR-fout om inloggegevens te verzamelen.
Enkele van de andere door de staat gesponsorde tegenstanders die zich bij de strijd hebben aangesloten zijn Konni (die overlap deelt met een Noord-Koreaanse cluster dat wordt gevolgd als Kimsuky) en Dark Pink (ook bekend als Saaiwc Group), volgens bevindingen van het Knownsec 404-team en NSFOCUS.
“De wijdverbreide exploitatie van de WinRAR-bug benadrukt dat exploits voor bekende kwetsbaarheden zeer effectief kunnen zijn, ondanks dat er een patch beschikbaar is”, aldus TAG-onderzoeker Kate Morgan. “Zelfs de meest geavanceerde aanvallers zullen alleen doen wat nodig is om hun doelen te bereiken.”
