![Google TAG, WinRAR Kusurunu İstismar Eden Devlet Destekli Tehdit Aktörlerini Tespit Etti](https://kilalu.blog/news/2024-07-30-00:01/Google TAG, WinRAR Kusurunu İstismar Eden Devlet Destekli Tehdit Aktörlerini Tespit Etti.jpg)
19 Ekim 2023Haber odasıSiber Tehdit / Güvenlik Açığı
Rusya ve Çin’den bir dizi devlet destekli tehdit aktörünün, operasyonlarının bir parçası olarak Windows için WinRAR arşivleme aracında yakın zamanda ortaya çıkan bir güvenlik açığından yararlandığı gözlemlendi.
Söz konusu güvenlik açığı CVE-2023-38831’dir (CVSS puanı: 7,8), kullanıcı ZIP arşivindeki zararsız bir dosyayı görüntülemeye çalıştığında saldırganların rastgele kod yürütmesine olanak tanır. Bu eksiklikten en az Nisan 2023’ten bu yana aktif olarak yararlanılıyor.
Google Tehdit Analiz Grubu (TAG), saptanmış Son haftalardaki faaliyetler, onları FROZENBARENTS (aka Sandworm), FROZENLAKE (aka APT28) ve ISLANDDREAMS (aka APT40) jeolojik isimleri altında takip ettiği üç farklı kümeye bağladı.
Sandworm ile bağlantılı kimlik avı saldırısı, Eylül ayı başlarında Ukrayna’daki bir drone savaş eğitim okulunun kimliğine büründü ve aylık abonelik için 250 $ karşılığında satışa sunulan bir emtia hırsızı kötü amaçlı yazılım olan Rhadamanthys’i sunmak için CVE-2023-38831’i kullanan kötü amaçlı bir ZIP dosyası dağıttı.
APT28, aynı zamanda Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı Ana Müdürlüğüne bağlı (GRU) Sandworm’da olduğu gibi Ukrayna’daki devlet kurumlarını hedef alan bir e-posta kampanyası başlattığı söyleniyor.
Bu saldırılarda, Ukraynalı kullanıcılardan CVE-2023-38831 istismarını içeren bir dosyayı indirmeleri istendi; bu, ülkedeki bir kamu politikası düşünce kuruluşu olan Razumkov Center’dan bir etkinlik davetiyesi gibi görünen sahte bir belgeydi.
![WinRAR Kusuru WinRAR Kusuru](https://teknomers.com/wp-content/uploads/2023/10/1697695365_305_Google-TAG-WinRAR-Kusurunu-Istismar-Eden-Devlet-Destekli-Tehdit-Aktorlerini.jpg)
Sonuç, tarayıcı oturum açma verilerini ve yerel durum dizinlerini çalan ve bilgileri webhook üzerindeki aktör kontrollü bir altyapıya aktaran IRONJAW adlı bir PowerShell betiğinin yürütülmesidir.[.]alan.
WinRAR hatasını istismar eden üçüncü tehdit aktörü, Papua Yeni Gine’yi hedef alan ve e-posta mesajlarının CVE-2023-38831 istismarını içeren bir ZIP arşivine bir Dropbox bağlantısı içeren bir kimlik avı kampanyasını başlatan APT40’tır.
Bulaşma dizisi sonuçta komuta ve kontrol için Dropbox API’sini kullanan bir .NET arka kapısı olan BOXRAT’ın yüklenmesinden sorumlu olan ISLANDSTAGER adlı bir damlalığın konuşlandırılmasının yolunu açtı.
Açıklama, kimlik bilgisi toplama operasyonlarını yürütmek için WinRAR kusurundan yararlanan APT28 korsan ekibi tarafından gerçekleştirilen saldırıların ayrıntılarını içeren Cluster25’ten elde edilen son bulgulara dayanıyor.
Mücadeleye katılan diğer devlet destekli düşmanlardan bazıları Konni’dir (ki bu da hisseler örtüşmeler göre, Kimsuky olarak takip edilen Kuzey Koreli bir küme) ve Dark Pink (diğer adıyla Saaiwc Grubu) bulgular itibaren Bilinen sec 404 ekibi Ve NODAK.
TAG araştırmacısı, “WinRAR hatasının yaygın şekilde kullanılması, bilinen güvenlik açıklarından yararlanmanın, mevcut bir yama olmasına rağmen son derece etkili olabileceğini vurgulamaktadır.”
Kate Morgan dedi. “En gelişmiş saldırganlar bile yalnızca hedeflerine ulaşmak için gerekli olanı yapar.”
Popular Articles
- 09 Aug Sergen Yalçın, Cenk Tosunu Bu Akşam Oynatacak
- 11 Aug Nijere gönüllü giden Türk doktorun gözyaşları
- 06 Aug TSK: Surda 1 Asker Şehit
- 26 Jul Kılıçdaroğlu seçim şarkısı Haydiyi paylaştı: Çok talep geldi
- 15 Aug Tuvalette 26 bin euro buldu! Filmlerde yaşanacak şey başına geldi: 26 bin euroyu...
Latest Articles
- 06 Aug Argus PT Black – şimdi Reolinka’ya mı gidiyorsunuz?
- 28 Jul Epic Games, Video Sohbet Uygulaması Housepartyyi Satın Aldı
- 15 Jul KeywordCaddy AI’yi kullanarak rekabetçi anahtar kelimeler bulun ve yüksek performanslı SEO içeriği oluşturun
- 17 Aug Dev pil depolama tesisi Nevada’daki kömürle çalışan elektrik santralinin yerini alıyor
- 18 Aug OnePlus Ace 3 Pro Renk Seçenekleri ve Temel Özellikler 27 Haziran Lansmanından Önce Tanıtıldı
Other Articles
- Nevşehirde, patlatılan şüpheli valizden bidon çıktı
- Doctor Strange in the Multiverse of Madness Vizyona Girdi! İşte Filme Gelen İlk Tepkiler [SPOILER YOK]
- Kickstarterda 1 saatte fon hedefine ulaşan Hexo+ın uçan kameraları Mayıs 2015te geliyor
- Hortuma tutunarak inen itfaiyeci düştü
- Kürtün AK Parti Gençlik Kolları Başkanına bıçaklı saldırı: O anlar kamerada