Gruppi di hacker pro-russi hanno sfruttato una vulnerabilità di sicurezza recentemente rivelata nel software di archiviazione WinRAR. Questa azione fa parte di una campagna di phishing mirata a raccogliere credenziali dai sistemi compromessi.
Dettagli sulla vulnerabilità
L’attacco coinvolge l’uso di file di archivio malevoli che sfruttano la vulnerabilità recentemente scoperta che colpisce le versioni del software di compressione WinRAR precedenti alla 6.23, identificata come CVE-2023-38831. L’archivio contiene un file PDF insidioso che, una volta cliccato, avvia uno script Windows Batch. Questo script lancia comandi PowerShell per aprire una shell inversa, concedendo all’attaccante l’accesso remoto all’host bersaglio. Viene inoltre distribuito uno script PowerShell che ruba dati, inclusi le credenziali di accesso, dai browser Google Chrome e Microsoft Edge. Le informazioni catturate vengono esfiltrate tramite un legittimo servizio web webhook[.]site.
Gravità della vulnerabilità
CVE-2023-38831 si riferisce a una grave vulnerabilità in WinRAR che permette agli aggressori di eseguire codice arbitrario tentando di visualizzare un file innocuo all’interno di un archivio ZIP. Ricerche di Group-IB nel 2023 hanno rivelato che il bug era stato sfruttato come zero-day da aprile 2023 in attacchi mirati ai commercianti.
APT29 e le sue operazioni
Mandiant, di proprietà di Google, ha tracciato le operazioni di phishing “in rapida evoluzione” dell’attore statale russo APT29, che ha preso di mira entità diplomatiche, con un aumento della frequenza e un’enfasi sull’Ucraina nella prima metà del 2023. APT29 ha fatto notevoli cambiamenti nei suoi strumenti e metodi, probabilmente per sostenere l’aumento della frequenza e dell’ambito delle operazioni e ostacolare l’analisi forense.
Altre attività legate alla Russia
ATP29, che è stato anche associato a sfruttamenti focalizzati sul cloud, è uno dei molti gruppi di attività che provengono dalla Russia e che hanno preso di mira l’Ucraina a seguito dell’inizio della guerra l’anno scorso. Nel luglio 2023, il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha implicato Turla in attacchi che utilizzavano il malware Capibar e il backdoor Kazuar per attacchi di spionaggio contro gli asset difensivi ucraini.