Les chercheurs en sécurité de Google affirment avoir trouvé des preuves que des pirates informatiques soutenus par l'État et liés à la Russie et à la Chine exploitent des vulnérabilités corrigées dans WinRAR, un outil d'archivage shareware Windows populaire. La vulnérabilité WinRAR, découverte pour la première fois plus tôt cette année par la société de cybersécurité Group-IB et numérotée CVE-2023-38831, permet aux attaquants de cacher des scripts malveillants dans des fichiers d'archives déguisés en images ou en documents texte apparemment inoffensifs.
Group-IB a déclaré que la vulnérabilité avait été exploitée en tant que vulnérabilité zero-day en avril parce que les développeurs n'avaient pas eu le temps de la corriger avant qu'elle ne soit exploitée, compromettant les appareils d'au moins 130 traders financiers.
Rarlab, qui fabrique des outils de compression, a publié le 2 août une version mise à jour de WinRAR (version 6.23) pour corriger la vulnérabilité.
Pourtant, le Threat Analysis Group (TAG) de Google a déclaré cette semaine que ses chercheurs avaient observé plusieurs groupes de piratage soutenus par le gouvernement exploitant la faille de sécurité, notant que « de nombreux utilisateurs » qui n'avaient pas mis à jour l'application étaient toujours vulnérables. Dans une recherche partagée avec TechCrunch avant la publication, TAG a déclaré avoir observé plusieurs campagnes exploitant la vulnérabilité zero-day de WinRAR liées à des groupes de piratage parrainés par l'État ayant des liens avec la Russie et la Chine.
L'un des groupes comprend une unité de renseignement militaire russe appelée Sandworm, connue pour ses cyberattaques destructrices, telles que l'attaque du ransomware NotPetya lancée par le groupe en 2017, qui a principalement attaqué les systèmes informatiques ukrainiens et perturbé le réseau électrique du pays.
Les chercheurs de TAG ont observé Sandworm exploiter une faille WinRAR début septembre dans le cadre d'une campagne de courrier électronique malveillant se faisant passer pour une école ukrainienne de formation à la guerre par drones. Les e-mails contiennent un lien vers un fichier d'archive malveillant qui exploite CVE-2023-38831, qui, une fois ouvert, installe un logiciel malveillant voleur d'informations sur l'ordinateur de la victime et vole les mots de passe du navigateur.
Par ailleurs, TAG a déclaré avoir observé qu'un autre groupe de piratage notoire soutenu par la Russie (sous le nom d'APT28, communément appelé FancyBear) avait exploité les attaques zero-day de WinRAR pour cibler les utilisateurs ukrainiens sous le couvert d'une campagne par courrier électronique usurpant l'identité du Centre Razumkov (une politique publique). FancyBear est surtout connu pour sa campagne de piratage et de fuite de 2016 ciblant le Comité national démocrate.
Les conclusions de Google font suite à une découverte antérieure de la société de renseignement sur les menaces Cluster25, qui a déclaré la semaine dernière avoir également observé des pirates informatiques russes exploitant la vulnérabilité WinRAR dans une campagne de phishing visant à récupérer les informations d'identification des systèmes infectés. Cluster25 a déclaré avoir évalué avec « une confiance faible à modérée » que FancyBear était derrière la campagne.
Google a ajouté que ses chercheurs ont trouvé des preuves que le groupe de piratage APT40, soutenu par la Chine, que le gouvernement américain a précédemment lié au ministère chinois de la Sécurité d'État, avait également abusé de la vulnérabilité Zero Day de WinRAR dans le cadre de campagnes de phishing contre les utilisateurs. En Papouasie-Nouvelle-Guinée. Les e-mails contiennent des liens Dropbox vers des fichiers d'archive contenant la vulnérabilité CVE-2023-38831.
Les chercheurs de TAG préviennent que l'exploitation continue des vulnérabilités de WinRAR « met en évidence l'efficacité des exploits des vulnérabilités connues », alors que les attaquants profitent de la lenteur des correctifs.
apprendre encore plus:
https://blog.google/threat-analysis-group/government-backed-actors-exploiting-winrar-vulnerability/