Уязвимость WinRAR превратилась в кибероружие для атак на правительственные организации
Больше всего страдают азиатские страны, но едва ли хакеры не могут расширить зону своей активности.
В сфере кибербезопасности набирает обороты новая серьёзная угроза. Группа киберпреступников, известная как DarkCasino, использует недавно выявленную уязвимость в программном обеспечении WinRAR для осуществления хакерских атак на правительственные организации стран Азии.
DarkCasino описывается экспертами из NSFOCUS как экономически мотивированная группировка, впервые обнаруженная в 2021 году. Хакеры группы обладают продвинутыми техническими навыками и способностью к обучению. Атаки этой группы чаще всего направлены на кражу онлайн-имущества интернет-пользователей и целых организаций.
Особенно активно группировка использует уязвимость CVE-2023-38831 (CVSS оценка: 7.8) в WinRAR, позволяющую злоумышленникам выполнять произвольный код, при попытке пользователя просмотреть безопасный файл в ZIP-архиве.
В августе 2023 года Group-IB сообщила об атаках, целью которых были онлайн-форумы для торговли. Финальной полезной нагрузкой этих атак является троян на Visual Basic, названный DarkMe, приписываемый DarkCasino. Этот вирус может собирать информацию о хосте, делать скриншоты, управлять файлами и реестром Windows, выполнять произвольные команды и обновлять себя на заражённом хосте.
Ранее DarkCasino классифицировалась как фишинговая кампания группы Evilnum, направленная на пользователей азартных игр, криптовалют и кредитных платформ в Европе и Азии. Однако NSFOCUS исключает связь DarkCasino с известными угрозами, обособляя её от остальных.
По заверениям исследователей, поначалу DarkCasino в основном работал в странах Средиземноморья, однако в последнее время атаки группы распространились на азиатские страны, такие как Южная Корея и Вьетнам.
Кроме DarkCasino, к эксплуатации уязвимости CVE-2023-38831 за последние месяцы присоединились и другие хакерские группировки, включая APT28, APT29, APT40, Dark Pink, Ghostwriter, Konni и Sandworm. Так, Ghostwriter использует эту уязвимость для распространения вредоносного загрузчика PicassoLoader.
NSFOCUS подчёркивает, что данная уязвимость WinRAR создаёт неопределённость в ситуации с атаками APT-группировок во второй половине 2023 года. Так как сразу множество групп используют эту уязвимость, анализ их деятельности и причастности к той или иной атаке выполнять теперь гораздо сложнее.
В то же время, развёрнутый анализ в каждом отдельно взятом случае необходим, так как уязвимость часто используется для атак на критически важные цели, включая правительства разных стран.
Большой брат следит за вами, но мы знаем, как остановить его