Google-Sicherheitsforscher geben an, Beweise dafür gefunden zu haben, dass staatlich unterstützte Hacker mit Verbindungen zu Russland und China gepatchte Schwachstellen in WinRAR, einem beliebten Windows-Shareware-Archivierungstool, ausnutzen. Die WinRAR-Schwachstelle, die erstmals Anfang des Jahres von der Cybersicherheitsfirma Group-IB entdeckt wurde und die Nummer CVE-2023-38831 hat, ermöglicht es Angreifern, bösartige Skripte in Archivdateien zu verstecken, die als scheinbar harmlose Bilder oder Textdokumente getarnt sind.

Laut Group-IB wurde die Schwachstelle bereits im April als Zero-Day-Schwachstelle ausgenutzt, weil die Entwickler keine Zeit hatten, sie zu beheben, bevor sie ausgenutzt wurde, wodurch die Geräte von mindestens 130 Finanzhändlern gefährdet wurden.

Rarlab, ein Hersteller von Komprimierungstools, hat am 2. August eine aktualisierte Version von WinRAR (Version 6.23) veröffentlicht, um die Schwachstelle zu beheben.

Dennoch sagte die Threat Analysis Group (TAG) von Google diese Woche, dass ihre Forscher mehrere von der Regierung unterstützte Hackergruppen beobachtet hätten, die die Sicherheitslücke ausnutzten, und stellte fest, dass „viele Benutzer“, die die App nicht aktualisiert hatten, immer noch angreifbar seien. In einer Studie, die vor der Veröffentlichung mit TechCrunch geteilt wurde, gab TAG an, mehrere Kampagnen beobachtet zu haben, bei denen die WinRAR-Zero-Day-Schwachstelle im Zusammenhang mit staatlich geförderten Hackergruppen mit Verbindungen zu Russland und China ausgenutzt wurde.

Zu den Gruppen gehört ein russischer Militärgeheimdienst namens Sandworm, der für zerstörerische Cyberangriffe bekannt ist, wie zum Beispiel den 2017 von der Gruppe gestarteten Ransomware-Angriff NotPetya, der vor allem ukrainische Computersysteme angriff und das Stromnetz des Landes lahmlegte.

TAG-Forscher beobachteten, wie Sandworm Anfang September im Rahmen einer böswilligen E-Mail-Kampagne, die sich als eine ukrainische Ausbildungsschule für Drohnenkriegsführung ausgab, einen WinRAR-Fehler ausnutzte. Die E-Mails enthalten einen Link zu einer bösartigen Archivdatei, die CVE-2023-38831 ausnutzt und beim Öffnen informationsstehlende Malware auf dem Computer des Opfers installiert und Browser-Passwörter stiehlt.

Unabhängig davon sagte TAG, es habe beobachtet, dass eine andere berüchtigte, von Russland unterstützte Hackergruppe (verfolgt als APT28, allgemein bekannt als FancyBear) WinRAR-Zero-Day-Angriffe ausnutzte, um ukrainische Benutzer anzugreifen, unter dem Deckmantel einer E-Mail-Kampagne, die sich als Razumkov Center ausgab (eine öffentliche Richtlinie). FancyBear ist vor allem für seine Hacking- und Leak-Kampagne im Jahr 2016 bekannt, die sich gegen das Democratic National Committee richtete.

Die Ergebnisse von Google folgen einer früheren Entdeckung des Threat-Intelligence-Unternehmens Cluster25, das letzte Woche sagte, es habe auch russische Hacker beobachtet, die die WinRAR-Schwachstelle in einer Phishing-Kampagne ausnutzten, die darauf abzielte, Anmeldeinformationen von infizierten Systemen abzugreifen. Cluster25 gab an, mit „geringer bis mäßiger Zuversicht“ einzuschätzen, dass FancyBear hinter der Kampagne steckt.

Google fügte hinzu, dass seine Forscher Beweise dafür gefunden hätten, dass die von China unterstützte Hackergruppe APT40, die die US-Regierung zuvor mit dem chinesischen Ministerium für Staatssicherheit in Verbindung gebracht hat, die Zero-Day-Schwachstelle WinRAR ebenfalls im Rahmen von Phishing-Kampagnen gegen Benutzer missbraucht habe. In Papua-Neuguinea. Die E-Mails enthalten Dropbox-Links zu Archivdateien, die die Sicherheitslücke CVE-2023-38831 enthalten.

TAG-Forscher warnen, dass die fortgesetzte Ausnutzung von WinRAR-Schwachstellen „zeigt, wie effektiv die Ausnutzung bekannter Schwachstellen sein kann“, da Angreifer die langsame Geschwindigkeit des Patchens ausnutzen.

Erfahren Sie mehr:

https://blog.google/threat-analysis-group/ Government-backed-actors-exploiting-winrar-vulnerability/