Уязвимость WinRAR превратилась в кибероружие для атак на правительственные организации
Больше всего страдают азиатские страны, но едва ли хакеры не могут расширить зону своей активности.
В сфере кибербезопасности набирает обороты новая серьёзная угроза. Группа киберпреступников, известная как DarkCasino, использует недавно выявленную уязвимость в программном обеспечении WinRAR для осуществления хакерских атак на правительственные организации стран Азии.
DarkCasino описывается экспертами из NSFOCUS как экономически мотивированная группировка, впервые обнаруженная в 2021 году. Хакеры группы обладают продвинутыми техническими навыками и способностью к обучению. Атаки этой группы чаще всего направлены на кражу онлайн-имущества интернет-пользователей и целых организаций.
Особенно активно группировка использует уязвимость CVE-2023-38831 (CVSS оценка: 7.8) в WinRAR, позволяющую злоумышленникам выполнять произвольный код, при попытке пользователя просмотреть безопасный файл в ZIP-архиве.
В августе 2023 года Group-IB сообщила об атаках, целью которых были онлайн-форумы для торговли. Финальной полезной нагрузкой этих атак является троян на Visual Basic, названный DarkMe, приписываемый DarkCasino. Этот вирус может собирать информацию о хосте, делать скриншоты, управлять файлами и реестром Windows, выполнять произвольные команды и обновлять себя на заражённом хосте.
Ранее DarkCasino классифицировалась как фишинговая кампания группы Evilnum, направленная на пользователей азартных игр, криптовалют и кредитных платформ в Европе и Азии. Однако NSFOCUS исключает связь DarkCasino с известными угрозами, обособляя её от остальных.
По заверениям исследователей, поначалу DarkCasino в основном работал в странах Средиземноморья, однако в последнее время атаки группы распространились на азиатские страны, такие как Южная Корея и Вьетнам.
Кроме DarkCasino, к эксплуатации уязвимости CVE-2023-38831 за последние месяцы присоединились и другие хакерские группировки, включая APT28, APT29, APT40, Dark Pink, Ghostwriter, Konni и Sandworm. Так, Ghostwriter использует эту уязвимость для распространения вредоносного загрузчика PicassoLoader.
NSFOCUS подчёркивает, что данная уязвимость WinRAR создаёт неопределённость в ситуации с атаками APT-группировок во второй половине 2023 года. Так как сразу множество групп используют эту уязвимость, анализ их деятельности и причастности к той или иной атаке выполнять теперь гораздо сложнее.
В то же время, развёрнутый анализ в каждом отдельно взятом случае необходим, так как уязвимость часто используется для атак на критически важные цели, включая правительства разных стран.
Цифровые следы - ваша слабость, и хакеры это знают.