Siber Muhbir

Rusya ve Çin'den bir dizi devlet destekli tehdit aktörünün, operasyonlarının bir parçası olarak Windows için WinRAR arşivleyici aracındaki yeni bir güvenlik açığından yararlandığı gözlemlendi.

Söz konusu güvenlik açığı CVE-2023-38831'dir (CVSS puanı: 7.8), bir kullanıcı bir ZIP arşivindeki iyi huylu bir dosyayı görüntülemeye çalıştığında saldırganların rastgele kod yürütmesine olanak tanır. Eksiklik, en az Nisan 2023'ten beri aktif olarak kullanılıyor.

Son haftalarda faaliyetleri tespit eden Google Tehdit Analizi Grubu (TAG), bunları FROZENBARENTS (diğer adıyla Sandworm), FROZENLAKE (diğer adıyla APT28) ve ISLANDDREAMS (diğer adıyla APT40) jeolojik takma adları altında izlediği üç farklı kümeye bağladı.

Sandworm ile bağlantılı kimlik avı saldırısı, Eylül ayı başlarında Ukraynalı bir drone savaş eğitim okulunun kimliğine büründü ve aylık abonelik için 2023 dolara satışa sunulan bir emtia hırsızı kötü amaçlı yazılımı olan Rhadamanthys'i teslim etmek için CVE-38831-250'den yararlanan kötü amaçlı bir ZIP dosyası dağıttı.

Sandworm'da olduğu gibi Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı'na (GRU) da bağlı olan APT28'in Ukrayna'daki devlet kurumlarını hedef alan bir e-posta kampanyası başlattığı söyleniyor.

Bu saldırılarda, Ukrayna'daki kullanıcılardan, ülkedeki bir kamu politikası düşünce kuruluşu olan Razumkov Center'dan bir etkinlik daveti gibi görünen sahte bir belge olan CVE-2023-38831 istismarını içeren bir dosyayı indirmeleri istendi.

Sonuç, tarayıcı oturum açma verilerini ve yerel durum dizinlerini çalan ve bilgileri web kancasında aktör tarafından kontrol edilen bir altyapıya aktaran IRONJAW adlı bir PowerShell betiğinin yürütülmesidir[.] site.

WinRAR hatasından yararlanan üçüncü tehdit aktörü, e-posta mesajlarının CVE-40-2023 istismarını içeren bir ZIP arşivine Dropbox bağlantısı içerdiği Papua Yeni Gine'yi hedefleyen bir kimlik avı kampanyasını başlatan APT38831'tır.

Enfeksiyon dizisi nihayetinde, komut ve kontrol için Dropbox API'sini kullanan bir .NET arka kapısı olan BOXRAT'ı yüklemekten sorumlu olan ISLANDSTAGER adlı bir damlalığın konuşlandırılmasının yolunu açtı

Açıklama, APT25 bilgisayar korsanlığı ekibi tarafından kimlik bilgisi toplama işlemlerini yürütmek için WinRAR kusurundan yararlanan saldırıları ayrıntılı olarak anlatan Cluster28'in son bulgularına dayanıyor.

Knownsec 404 ekibi ve NSFOCUS'un bulgularına göre, mücadeleye katılan diğer devlet destekli düşmanlardan bazıları Konni (Kimsuky olarak izlenen bir Kuzey Kore kümesiyle örtüşüyor) ve Dark Pink (diğer adıyla Saaiwc Group).

TAG araştırmacısı Kate Morgan, "WinRAR hatasının yaygın olarak kullanılması, bir yama mevcut olmasına rağmen, bilinen güvenlik açıklarından yararlanmanın oldukça etkili olabileceğini vurguluyor" dedi. "En sofistike saldırganlar bile hedeflerine ulaşmak için yalnızca gerekli olanı yapacaktır."