Theo TechRadar, vấn đề bảo mật của phần mềm nén tệp WinRAR đã được cảnh báo lần đầu vào đầu năm 2022, khi tin tặc đã lợi dụng các lỗ hổng tồn tại trong phần mềm này để tấn công người dùng đầu cuối.
Tình trạng này đang tiếp tục lặp lại khi có báo cáo mới về việc một tin tặc có biệt danh APT29, hay Cosy Bear/NOBELIUM, đang khai thác lỗ hổng của WinRAR để tấn công các cơ quan chính phủ.
Theo báo cáo của Bleeping Computer, Hội đồng Quốc phòng và An ninh Quốc gia Ukraine (NDSC) tuyên bố họ đã quan sát thấy APT29 nhắm mục tiêu vào các cơ quan chính phủ bằng các email lừa đảo với lỗ hổng có mã CVE-2023-38831.
Lỗ hổng CVE-2023-388831 là một lỗ hổng có mức độ nghiêm trọng cao trong WinRAR, cho phép kẻ tấn công thực thi mã tùy ý. Các phát hiện từ công ty an ninh mạng Group-IB vào tháng 8/2023 tiết lộ rằng lỗi này đã được vũ khí hóa thành zero-day kể từ tháng 4/2023 trong các cuộc tấn công nhắm vào các doanh nghiệp.
Lỗ hổng cho phép tin tặc tạo các tệp nén .RAR và .ZIP có khả năng thực thi mã độc ở chế độ nền, trong khi nạn nhân đang chú ý đến các nội dung được chia sẻ bên trong tệp nén.
Phần mềm độc hại do APT29 triển khai có khả năng đánh cắp thông tin, lấy mật khẩu được lưu trong trình duyệt, tài liệu mật, thông tin hệ thống…
APT29 đang nhắm mục tiêu vào các tổ chức chính phủ ở Azerbaijan, Hy Lạp, Romania và Ý. Các nạn nhân sẽ nhận được email giả mạo chào bán một chiếc xe BMW và khi họ đang tập trung xem hình ảnh chiếc xe, phần mềm độc hại sẽ được âm thầm cài đặt.
Lỗ hổng CVE-2023-38831 ảnh hưởng đến phần mềm WinRAR các phiên bản cũ hơn 6.23. Công ty RAR Labs đã phát hành một bản vá cách nay vài tháng, khuyên tất cả người dùng nên cài đặt phiên bản này.
Trước đó vào đầu tháng 11, một số nguồn tin cho biết, nhóm tin tặc đến từ Nga đã khai thác lỗ hổng bảo mật được phát hiện gần đây trong phần mềm WinRAR như một phần của chiến dịch lừa đảo được thiết kế để thu thập thông tin của người dùng từ các hệ thống bị xâm nhập.
Mẫu độc hại là một tệp lưu trữ có tên “IOC_09_11.rar”, chứa một tệp PDF không có thật là “IOC_09_11.pdf” với ký tự dấu cách ở cuối trong tên tệp và một thư mục có cùng tên (bao gồm cả dấu cách) với tệp “IOC_09_11.pdf .cmd”, là tập lệnh BAT.
Khi được nhấp vào, tập lệnh Windows Batch được thực thi, khởi chạy các lệnh PowerShell để mở một Reverse Shell cho phép kẻ tấn công truy cập từ xa vào máy mục tiêu.