İlk olarak bu yılın başlarında siber güvenlik şirketi Group-IB tarafından keşfedilen ve CVE-2023-38831 olarak takip edilen WinRAR güvenlik açığı; bilgisayar korsanlarının, görünüşte zararsız görüntüler veya metin belgeleri gibi görünen arşiv dosyalarındaki kötü amaçlı komut dosyalarını gizlemesine olanak tanıyor.
Group-IB, geliştiricinin hatayı istismar edilmeden önce düzeltmek için sıfır zamanı olduğundan, kusurun sıfır gün olarak istismar edildiğini, Nisan ayına kadar en az 130 tüccarın cihazlarını tehlikeye attığını söyledi.
Arşivleme aracını yapan Rarlab, güvenlik açığını düzeltmek için 2 Ağustos’ta WinRAR’ın güncellenmiş bir sürümünü (sürüm 6.23) yayınladı.
Buna rağmen, Google’ın Tehdit Analiz Grubu (TAG) bu hafta araştırmacılarının, güvenlik açığından yararlanan çok sayıda hükümet destekli bilgisayar korsanlığı grubu gözlemlediğini ve uygulamayı güncellemeyen “birçok kullanıcının” savunmasız kaldığını belirtti. TAG, yayınlanmadan önce paylaşılan araştırmada, Rusya ve Çin ile bağlantısı olan devlet destekli bilgisayar korsanlığı gruplarına bağladığı WinRAR sıfır gün hatasını kullanan çok sayıda kampanya gözlemlediğini söylüyor.
Bu gruplardan biri, 2017’de başlattığı ve öncelikle Ukrayna’daki bilgisayar sistemlerini vuran ve ülkenin elektrik şebekesini bozan NotPetya fidye yazılımı saldırısı gibi yıkıcı siber saldırılarıyla tanınan Sandworm adlı Rus askeri istihbarat birimini içeriyor.
TAG araştırmacıları, Sandworm’un Eylül ayı başlarında Ukrayna’daki bir drone savaş eğitim okulunu taklit eden kötü niyetli bir e-posta kampanyasının parçası olarak WinRAR kusurundan yararlandığını gözlemledi. E-postalar, açıldığında kurbanın makinesine bilgi çalan kötü amaçlı yazılım yükleyen ve tarayıcı şifrelerini çalan CVE-2023-38831’i kullanan kötü amaçlı bir arşiv dosyasına bağlantı içeriyordu.
Ayrı bir gelişmede TAG, APT28 olarak takip edilen ve genellikle Fancy Bear olarak bilinen başka bir kötü şöhretli Rusya destekli bilgisayar korsanlığının, bir kamu politikası olan Razumkov Merkezi’ni taklit eden bir e-posta kampanyası kisvesi altında Ukrayna’daki kullanıcıları hedeflemek için WinRAR sıfır gününü kullandığını gözlemlediğini söyledi. Ülkedeki düşünce kuruluşu. Fancy Bear, 2016 yılında Demokratik Ulusal Komite’ye karşı gerçekleştirdiği hack-sızıntı operasyonuyla tanınıyor.
Google’ın bulguları, tehdit istihbaratı şirketi Cluster25’in geçen hafta Rus bilgisayar korsanlarının WinRAR güvenlik açığından, güvenliği ihlal edilmiş sistemlerden kimlik bilgilerini toplamak için tasarlanmış bir kimlik avı kampanyası olarak yararlandığını gözlemlediğini söyleyen daha önceki bir keşfin ardından geldi. Cluster25, kampanyanın arkasında Fancy Bear’ın olduğunu “düşük-orta güven” ile değerlendirdiğini söyledi.
Google, ABD hükümetinin daha önce Çin Devlet Güvenlik Bakanlığı ile ilişkilendirdiği, APT40 olarak bilinen Çin destekli bilgisayar korsanlığı grubunun da WinRAR sıfır gün kusurunu, bir kimlik avı kampanyasının parçası olarak kötüye kullandığına dair kanıtlar bulduğunu ekledi. Bu e-postalar, CVE-2023-38831 istismarını içeren bir arşiv dosyasına giden bir Dropbox bağlantısı içeriyordu.
TAG araştırmacıları, saldırganların yavaş yama oranlarını kendi avantajlarına kullanması nedeniyle WinRAR hatasının devam eden istismarının “bilinen güvenlik açıklarından yararlanmanın son derece etkili olabileceğini vurguladığı” konusunda uyarıyor.