Новости Уязвимость WinRAR превратилась в кибероружие для атак на правительственные организации

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Больше всего страдают азиатские страны, но едва ли хакеры не могут расширить зону своей активности.


y1v77q36q22amts1tsuf0ll9km9ro9ge.jpg


В сфере кибербезопасности набирает обороты новая серьёзная угроза. Группа киберпреступников, известная как DarkCasino, использует Для просмотра ссылки Войди или Зарегистрируйся уязвимость в программном обеспечении WinRAR для осуществления хакерских атак на правительственные организации стран Азии.

DarkCasino Для просмотра ссылки Войди или Зарегистрируйся экспертами из NSFOCUS как экономически мотивированная группировка, впервые обнаруженная в 2021 году. Хакеры группы обладают продвинутыми техническими навыками и способностью к обучению. Атаки этой группы чаще всего направлены на кражу онлайн-имущества интернет-пользователей и целых организаций.

Особенно активно группировка использует уязвимость Для просмотра ссылки Войди или Зарегистрируйся (CVSS оценка: 7.8) в WinRAR, позволяющую злоумышленникам выполнять произвольный код, при попытке пользователя просмотреть безопасный файл в ZIP-архиве.

В августе 2023 года Group-IB Для просмотра ссылки Войди или Зарегистрируйся об атаках, целью которых были онлайн-форумы для торговли. Финальной полезной нагрузкой этих атак является троян на Visual Basic , названный DarkMe, приписываемый DarkCasino. Этот вирус может собирать информацию о хосте, делать скриншоты, управлять файлами и реестром Windows, выполнять произвольные команды и обновлять себя на заражённом хосте.

Ранее DarkCasino классифицировалась как фишинговая кампания группы Evilnum, направленная на пользователей азартных игр, криптовалют и кредитных платформ в Европе и Азии. Однако NSFOCUS исключает связь DarkCasino с известными угрозами, обособляя её от остальных.

По заверениям исследователей, поначалу DarkCasino в основном работал в странах Средиземноморья, однако в последнее время атаки группы распространились на азиатские страны, такие как Южная Корея и Вьетнам.

Кроме DarkCasino, к эксплуатации уязвимости CVE-2023-38831 за последние месяцы присоединились и другие хакерские группировки, включая APT28, APT29, APT40, Dark Pink, Ghostwriter, Konni и Sandworm. Так, Ghostwriter использует эту уязвимость для распространения вредоносного загрузчика PicassoLoader.

NSFOCUS подчёркивает, что данная уязвимость WinRAR создаёт неопределённость в ситуации с атаками APT -группировок во второй половине 2023 года. Так как сразу множество групп используют эту уязвимость, анализ их деятельности и причастности к той или иной атаке выполнять теперь гораздо сложнее.

В то же время, развёрнутый анализ в каждом отдельно взятом случае необходим, так как уязвимость часто используется для атак на критически важные цели, включая правительства разных стран.
 
Источник новости
www.securitylab.ru

Похожие темы