Các nhà nghiên cứu bảo mật của Google cho biết họ đã tìm thấy bằng chứng cho thấy các tin tặc được chính phủ hậu thuẫn có liên quan đến Nga và Trung Quốc đang khai thác các lỗ hổng được vá trong WinRAR, một công cụ lưu trữ phần mềm chia sẻ phổ biến của Windows. Lỗ hổng WinRAR, được công ty an ninh mạng Group-IB phát hiện lần đầu tiên vào đầu năm nay và được đánh số CVE-2023-38831, cho phép kẻ tấn công ẩn các tập lệnh độc hại trong các tệp lưu trữ được ngụy trang dưới dạng hình ảnh hoặc tài liệu văn bản dường như vô hại.
Group-IB tuyên bố rằng lỗ hổng này đã bị khai thác dưới dạng lỗ hổng zero-day ngay từ tháng 4 vì các nhà phát triển không có thời gian để sửa lỗ hổng trước khi nó bị khai thác, do đó đã xâm phạm thiết bị của ít nhất 130 nhà giao dịch tài chính.
Rarlab, công ty sản xuất công cụ nén, đã phát hành phiên bản cập nhật của WinRAR (phiên bản 6.23) vào ngày 2 tháng 8 để khắc phục lỗ hổng.
Tuy nhiên, Nhóm phân tích mối đe dọa của Google (TAG) cho biết trong tuần này rằng các nhà nghiên cứu của họ đã quan sát thấy nhiều nhóm hack được chính phủ hậu thuẫn khai thác lỗ hổng bảo mật, đồng thời lưu ý rằng "nhiều người dùng" chưa cập nhật ứng dụng vẫn dễ bị tổn thương. Trong nghiên cứu được chia sẻ với TechCrunch trước khi xuất bản, TAG cho biết họ đã quan sát thấy nhiều chiến dịch khai thác lỗ hổng zero-day của WinRAR liên quan đến các nhóm hack được nhà nước tài trợ có quan hệ với Nga và Trung Quốc.
Một trong các nhóm bao gồm đơn vị tình báo quân đội Nga tên là Sandworm, đơn vị này nổi tiếng với các cuộc tấn công mạng mang tính hủy diệt, chẳng hạn như cuộc tấn công ransomware NotPetya do nhóm này phát động vào năm 2017, chủ yếu tấn công các hệ thống máy tính của Ukraine và làm gián đoạn lưới điện của đất nước. Các nhà nghiên cứu
TAG đã quan sát thấy Sandworm khai thác lỗ hổng WinRAR vào đầu tháng 9 như một phần của chiến dịch email độc hại mạo danh một trường huấn luyện chiến tranh máy bay không người lái của Ukraine. Các email chứa liên kết đến tệp lưu trữ độc hại khai thác CVE-2023-38831, khi mở ra sẽ cài đặt phần mềm độc hại đánh cắp thông tin trên máy tính của nạn nhân và đánh cắp mật khẩu trình duyệt.
Riêng biệt, TAG cho biết họ đã quan sát thấy một nhóm hack khét tiếng khác do Nga hậu thuẫn (được theo dõi là APT28, thường được gọi là FancyBear) khai thác các cuộc tấn công zero-day của WinRAR để nhắm mục tiêu vào người dùng Ukraina dưới vỏ bọc của một chiến dịch email mạo danh Trung tâm Razumkov (một vấn đề chính sách công). FancyBear nổi tiếng với chiến dịch hack và rò rỉ năm 2016 nhắm vào Ủy ban Quốc gia Đảng Dân chủ.
Phát hiện của Google tiếp nối phát hiện trước đó của công ty tình báo mối đe dọa Cluster25. Tuần trước, công ty này cho biết họ cũng đã quan sát thấy tin tặc Nga khai thác lỗ hổng WinRAR trong một chiến dịch lừa đảo nhằm mục đích thu thập thông tin xác thực từ các hệ thống bị xâm nhập. Cluster25 cho biết họ đánh giá với "độ tin cậy từ thấp đến trung bình" rằng FancyBear đứng sau chiến dịch này.
Google nói thêm rằng các nhà nghiên cứu của họ đã tìm thấy bằng chứng cho thấy nhóm hack APT40 do Trung Quốc hậu thuẫn, mà chính phủ Hoa Kỳ trước đây đã liên kết với Bộ An ninh Nhà nước Trung Quốc, cũng lạm dụng lỗ hổng zero-day của WinRAR như một phần của chiến dịch lừa đảo chống lại người dùng. Ở Papua New Guinea. Các email chứa liên kết Dropbox tới các tệp lưu trữ có chứa lỗ hổng CVE-2023-38831. Các nhà nghiên cứu
TAG cảnh báo rằng việc tiếp tục khai thác các lỗ hổng WinRAR "làm nổi bật mức độ hiệu quả của việc khai thác các lỗ hổng đã biết" khi những kẻ tấn công lợi dụng tốc độ vá lỗi chậm.
Tìm hiểu thêm:
https://blog.google/threat-an nhóm phân tích/diễn viên được chính phủ hậu thuẫn-khai thác-winrar-vulnerability/