一些由政府支持的 APT 正在利用 CVE-2023-38831漏洞，這是 WinRAR 中的一個(gè)文件擴(kuò)展名欺騙漏洞。

CVE-2023-38831 已于 2023 年 8 月與另一個(gè)高嚴(yán)重性 RCE 漏洞（CVE-2023-40477）一起被修補(bǔ)。

自 2023 年 4 月以來，該漏洞一直被網(wǎng)絡(luò)犯罪分子作為零日漏洞加以利用，現(xiàn)在也被國(guó)家支持的黑客組織所利用。谷歌 TAG 分析師指出：對(duì) WinRAR 漏洞的廣泛利用也表明，盡管已經(jīng)有了補(bǔ)丁，但對(duì)已知漏洞的利用依舊活躍且有效。

攜帶漏洞的釣魚電子郵件

谷歌分析師已經(jīng)標(biāo)記了幾個(gè)使用 CVE-2023-38831 的活動(dòng)，并分享了與所有這些攻擊相關(guān)的 IoC。

臭名昭著的 "沙蟲"（Sandworm）黑客在 9 月初假冒了一所烏克蘭無人機(jī)戰(zhàn)爭(zhēng)培訓(xùn)學(xué)校。他們發(fā)送的電子郵件包含加入學(xué)校的邀請(qǐng)函和一個(gè)誘殺歸檔文件，該文件在使用易受攻擊的 WinRAR 版本解壓后，會(huì)運(yùn)行 Rhadamanthys 信息竊取程序。

大約在同一時(shí)間，"花式熊"（APT28，據(jù)稱也是由俄羅斯政府贊助的）針對(duì)在能源領(lǐng)域工作的烏克蘭人發(fā)送了一份來自烏克蘭公共政策智囊團(tuán)的虛假活動(dòng)邀請(qǐng)函。

谷歌研究人員還分析了 9 月份上傳到 VirusTotal 的一個(gè)文件（IOC_09_11.rar），該文件觸發(fā)了一個(gè) PowerShell 腳本，可竊取瀏覽器登錄數(shù)據(jù)和本地狀態(tài)目錄。

DuskRise的Cluster25威脅情報(bào)團(tuán)隊(duì)的研究人員表示，該文件似乎包含多種惡意軟件的破壞指標(biāo)（IoCs），但也會(huì)觸發(fā)WinRAR漏洞和啟動(dòng)PowerShell命令，從而在目標(biāo)計(jì)算機(jī)上打開一個(gè)反向shell，并外泄存儲(chǔ)在谷歌Chrome瀏覽器和微軟Edge瀏覽器中的登錄憑證。

研究人員還補(bǔ)充說：根據(jù) Cluster25 的可見性，并考慮到感染鏈的復(fù)雜性，該攻擊可能與俄羅斯國(guó)家支持的組織 APT28（又名 Fancy Bear、Sednit）有關(guān)。

谷歌的分析師指出：即使是最復(fù)雜的攻擊者，也只會(huì)采取必要的手段來達(dá)到目的。顯然，這些威脅行為者是針對(duì)那些在關(guān)鍵補(bǔ)丁方面落后的組織。

參考鏈接：https://www.helpnetsecurity.com/2023/10/18/apts-winrar-cve-2023-38831/