Google TAG, WinRAR Kusurunu İstismar Eden Devlet Destekli Tehdit Aktörlerini Tespit Etti - Dünyadan Güncel Teknoloji Haberleri

Google TAG, WinRAR Kusurunu İstismar Eden Devlet Destekli Tehdit Aktörlerini Tespit Etti - Dünyadan Güncel Teknoloji Haberleri


19 Ekim 2023Haber odasıSiber Tehdit / Güvenlik Açığı

Rusya ve Çin’den bir dizi devlet destekli tehdit aktörünün, operasyonlarının bir parçası olarak Windows için WinRAR arşivleme aracında yakın zamanda ortaya çıkan bir güvenlik açığından yararlandığı gözlemlendi

Sonuç, tarayıcı oturum açma verilerini ve yerel durum dizinlerini çalan ve bilgileri webhook üzerindeki aktör kontrollü bir altyapıya aktaran IRONJAW adlı bir PowerShell betiğinin yürütülmesidir “En gelişmiş saldırganlar bile yalnızca hedeflerine ulaşmak için gerekli olanı yapar

Sandworm ile bağlantılı kimlik avı saldırısı, Eylül ayı başlarında Ukrayna’daki bir drone savaş eğitim okulunun kimliğine büründü ve aylık abonelik için 250 $ karşılığında satışa sunulan bir emtia hırsızı kötü amaçlı yazılım olan Rhadamanthys’i sunmak için CVE-2023-38831’i kullanan kötü amaçlı bir ZIP dosyası dağıttı

Söz konusu güvenlik açığı CVE-2023-38831’dir (CVSS puanı: 7,8), kullanıcı ZIP arşivindeki zararsız bir dosyayı görüntülemeye çalıştığında saldırganların rastgele kod yürütmesine olanak tanır

APT28, aynı zamanda Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı Ana Müdürlüğüne bağlı (GRU) Sandworm’da olduğu gibi Ukrayna’daki devlet kurumlarını hedef alan bir e-posta kampanyası başlattığı söyleniyor

TAG araştırmacısı, “WinRAR hatasının yaygın şekilde kullanılması, bilinen güvenlik açıklarından yararlanmanın, mevcut bir yama olmasına rağmen son derece etkili olabileceğini vurgulamaktadır

Bu saldırılarda, Ukraynalı kullanıcılardan CVE-2023-38831 istismarını içeren bir dosyayı indirmeleri istendi; bu, ülkedeki bir kamu politikası düşünce kuruluşu olan Razumkov Center’dan bir etkinlik davetiyesi gibi görünen sahte bir belgeydi ]alan

Açıklama, kimlik bilgisi toplama operasyonlarını yürütmek için WinRAR kusurundan yararlanan APT28 korsan ekibi tarafından gerçekleştirilen saldırıların ayrıntılarını içeren Cluster25’ten elde edilen son bulgulara dayanıyor ”



siber-2

WinRAR hatasını istismar eden üçüncü tehdit aktörü, Papua Yeni Gine’yi hedef alan ve e-posta mesajlarının CVE-2023-38831 istismarını içeren bir ZIP arşivine bir Dropbox bağlantısı içeren bir kimlik avı kampanyasını başlatan APT40’tır Bu eksiklikten en az Nisan 2023’ten bu yana aktif olarak yararlanılıyor NET arka kapısı olan BOXRAT’ın yüklenmesinden sorumlu olan ISLANDSTAGER adlı bir damlalığın konuşlandırılmasının yolunu açtı

Bulaşma dizisi sonuçta komuta ve kontrol için Dropbox API’sini kullanan bir

Google Tehdit Analiz Grubu (TAG), saptanmış Son haftalardaki faaliyetler, onları FROZENBARENTS (aka Sandworm), FROZENLAKE (aka APT28) ve ISLANDDREAMS (aka APT40) jeolojik isimleri altında takip ettiği üç farklı kümeye bağladı

Mücadeleye katılan diğer devlet destekli düşmanlardan bazıları Konni’dir (ki bu da hisseler örtüşmeler göre, Kimsuky olarak takip edilen Kuzey Koreli bir küme) ve Dark Pink (diğer adıyla Saaiwc Grubu) bulgular itibaren Bilinen sec 404 ekibi Ve NODAK [ ”

Kate Morgan dedi