В последние недели группа анализа угроз (Threat Analysis Group, TAG) компании Google наблюдала, как несколько поддерживаемых правительством хакерских групп эксплуатируют известную уязвимость CVE-2023-38831 в WinRAR, популярном файловом архиваторе для Windows. Киберпреступные группы начали использовать уязвимость в начале 2023 года, когда она еще не была известна защитникам. В настоящее время выпущено исправление, однако многие пользователи по-прежнему остаются уязвимыми. По данным TAG, уязвимость WinRAR используют в своих операциях правительственные организации из ряда стран.
Эксплуатация уязвимости WinRAR
В августе 2023 года компания RARLabs выпустила обновленную версию WinRAR, в которой были исправлены несколько ошибок, связанных с безопасностью. Одна из этих ошибок, получившая впоследствии обозначение CVE-2023-38831, представляет собой логическую уязвимость в WinRAR, приводящую к лишнему расширению временных файлов при обработке созданных архивов, в сочетании с ошибкой в реализации Windows ShellExecute при попытке открыть файл с расширением, содержащим пробелы. Уязвимость позволяет злоумышленникам выполнить произвольный код, когда пользователь пытается просмотреть недоброкачественный файл (например, обычный PNG-файл) внутри ZIP-архива.
Как сообщается в блоге Group-IB, уязвимость эксплуатируется киберпреступниками в режиме 0-day как минимум с апреля 2023 года в кампаниях, направленных на финансовых трейдеров, для доставки различных семейств вредоносных программ товарного назначения. Через несколько часов после публикации сообщения в блоге в публичные репозитории GitHub были загружены пробные версии и генераторы эксплойтов. Вскоре после этого TAG начал наблюдать тестовую активность как финансово мотивированных, так и APT-акторов, экспериментирующих с CVE-2023-38831.
В начале этого года в своем блоге компания TAG сообщила о том, что группа FROZENBARENTS (она же SANDWORM) нацелилась на энергетический сектор и продолжает операции по взлому и утечке информации. 6 сентября группа запустила кампанию по рассылке электронных писем, выдавая себя за украинскую школу по подготовке беспилотных летательных аппаратов.
Используя замануху в виде приглашения вступить в школу, письмо содержало ссылку на анонимный файлообменный сервис fex[.]net, который доставлял доброкачественный документ-приманку в формате PDF с учебным планом подготовки операторов беспилотников и вредоносный ZIP-файл, эксплуатирующий CVE-2023-38831 под названием "Навчальна-програма-Оператори.zip" (Программа подготовки операторов).
Полезная нагрузка, обнаруженная в файле "Навчальна-програма-Оператори.pdf /Навчальна-програма-Оператори.pdf_.bat", представляла собой упакованный инфохищник Rhadamanthys. Rhadamanthys - это товарный похититель информации, способный, в частности, собирать и передавать учетные данные браузера и информацию о сеансе работы. Он работает по подписке и может быть арендован по цене от 250 долл. на 30 дней. Использование коммерчески доступных инфопохитителей, которые обычно применяются киберпреступниками, нетипично для FROZENBARENTS.
4 сентября CERT-UA опубликовала информацию о том, что группа FROZENLAKE (она же APT28), приписываемая российскому ГРУ, использовала CVE-2023-38831 для доставки вредоносного ПО, направленного на энергетическую инфраструктуру. По наблюдениям TAG, FROZENLAKE использовала бесплатного хостинг-провайдера для распространения CVE-2023-38831 среди пользователей в Украине. Начальная страница перенаправляла пользователей на mockbin-сайт для выполнения проверки браузера и перенаправления на следующий этап, который должен был убедиться, что посетитель пришел с IPv4-адреса в Украине, и предложить пользователю загрузить файл, содержащий эксплойт CVE-2023-38831. В качестве документа-приманки использовалось приглашение на мероприятие от Центра Разумкова, аналитического центра в Украине.
Образец с именем "IOC_09_11.rar" (072afea7cae714b44c24c16308da0ef0e5aab36b7a601b310d12f8b925f359e7) был загружен на VirusTotal 11 сентября. Образец использует CVE-2023-38831 для создания BAT-файла, который открывает ложный PDF-файл, создает обратный SSH-оболочку на контролируемый злоумышленником IP-адрес и выполняет скрипт IRONJAW с помощью PowerShell.
IRONJAW - это небольшой скрипт PowerShell, который похищает регистрационные данные браузера и локальные каталоги состояния, передавая их в C2 на "http://webhook[.]site/e2831741-d8c8-4971-9464-e52d34f9d611". Впервые IRONJAW был замечен в конце июля - начале августа в виде ISO-файлов, размещенных на бесплатных хостинг-провайдерах, и приписан FROZENLAKE. Дополнительная поставка IRONJAW через эксплуатацию CVE-2023-38831 и обратный SSH-туннель стали новыми дополнениями к типичному набору инструментов FROZENLAKE.
TAG также наблюдал, как поддерживаемые правительством группы, связанные с Китаем, эксплуатировали CVE-2023-38831. В конце августа группа ISLANDDREAMS (она же APT40) запустила фишинговую кампанию, направленную на Папуа - Новую Гвинею. Фишинговые письма содержали ссылку Dropbox на ZIP-архив, содержащий эксплойт CVE-2023-38831, защищенный паролем ложный PDF-файл и LNK-файл.
Полезная нагрузка следующего этапа - ISLANDSTAGER - представляет собой либо XOR-кодированную DLL, найденную по жестко заданному смещению внутри LNK, либо загруженную по жестко заданному URL-адресу файлообменного сервиса.
Затем ISLANDSTAGER запускается легитимным процессом "ImagingDevices.exe", который боком загружает вредоносную "STI.dll" из "%ProgramData%\Microsoft\DeviceSync\". ISLANDSTAGER настраивает постоянство, добавляя процесс "ImagingDevices.exe" в ключ реестра "CurrentVersion\Run". Затем он декодирует несколько слоев шелл-кода, последний из которых генерируется с помощью Donut, который загружает и исполняет в памяти конечную полезную нагрузку - BOXRAT. BOXRAT представляет собой .NET-бэкдор, использующий Dropbox API в качестве механизма C2.
Indicators of Compromise
IPv4
- 216.66.35.145
URLs
- http://webhook.site/e2831741-d8c8-4971-9464-e52d34f9d611
- https://fex.net/s/59znp5b
- https://fex.net/s/bttyrz4
- https://filetransfer.io/data-package/DVagoJxL/download
SHA256
- 072afea7cae714b44c24c16308da0ef0e5aab36b7a601b310d12f8b925f359e7
- 77cf5efde721c1ff598eeae5cb3d81015d45a74d9ed885ba48330f37673bc799
- 91dec1160f3185cec4cb70fee0037ce3a62497e830330e9ddc2898f45682f63a