Cyberthreat.id - Sejumlah aktor ancaman yang didukung Rusia dan China telah diamati mengeksploitasi kelemahan keamanan baru-baru ini pada alat pengarsip WinRAR untuk Windows sebagai bagian dari operasi mereka.

The Hacker News menyebutkan kerentanan yang dimaksud adalah CVE-2023-38831 (skor CVSS: 7.8), yang memungkinkan penyerang mengeksekusi kode arbitrer ketika pengguna mencoba melihat file tidak berbahaya dalam arsip ZIP. Kekurangan ini telah dieksploitasi secara aktif setidaknya sejak April 2023.

Google Threat Analysis Group (TAG), yang mendeteksi aktivitas tersebut dalam beberapa minggu terakhir, mengaitkannya dengan tiga cluster berbeda yang dilacak dengan nama geologi FROZENBARENTS (alias Sandworm), FROZENLAKE (alias APT28), dan ISLANDDREAMS (alias APT40).

Serangan phishing yang terkait dengan Sandworm meniru sekolah pelatihan perang drone Ukraina pada awal September dan mendistribusikan file ZIP berbahaya yang mengeksploitasi CVE-2023-38831 untuk mengirimkan Rhadamanthys, malware pencuri komoditas yang ditawarkan untuk dijual seharga $250 untuk langganan bulanan.

APT28, yang juga berafiliasi dengan Direktorat Utama Staf Umum Angkatan Bersenjata Federasi Rusia (GRU) seperti halnya Sandworm, dikatakan telah meluncurkan kampanye email yang menargetkan organisasi pemerintah di Ukraina.

Dalam serangan ini, pengguna dari Ukraina diminta untuk mengunduh file yang berisi eksploitasi CVE-2023-38831 – sebuah dokumen umpan yang menyamar sebagai undangan acara dari Razumkov Centre, sebuah wadah pemikir kebijakan publik di negara tersebut.

Hasilnya adalah eksekusi skrip PowerShell bernama IRONJAW yang mencuri data login browser dan direktori negara bagian lokal dan mengekspor informasi ke infrastruktur yang dikendalikan aktor di situs webhook[.]

Aktor ancaman ketiga yang mengeksploitasi bug WinRAR adalah APT40, yang melancarkan kampanye phishing yang menargetkan Papua Nugini di mana pesan emailnya menyertakan tautan Dropbox ke arsip ZIP yang berisi eksploitasi CVE-2023-38831.

Urutan infeksi pada akhirnya membuka jalan bagi penerapan dropper bernama ISLANDSTAGER yang bertanggung jawab memuat BOXRAT, sebuah pintu belakang .NET yang menggunakan API Dropbox untuk perintah dan kontrol.

Pengungkapan ini didasarkan pada temuan terbaru dari Cluster25, yang merinci serangan yang dilakukan oleh kru peretas APT28 yang mengeksploitasi kelemahan WinRAR untuk melakukan operasi pengambilan kredensial.

Beberapa aktor lain yang disponsori negara yang telah bergabung dalam pertarungan ini adalah Konni (yang berbagi tumpang tindih dengan cluster Korea Utara yang dilacak sebagai Kimsuky) dan Dark Pink (alias Saaiwc Group), menurut temuan dari tim Knownsec 404 dan NSFOCUS.

“Eksploitasi bug WinRAR yang meluas menyoroti bahwa eksploitasi terhadap kerentanan yang diketahui bisa sangat efektif, meskipun patch telah tersedia,” kata peneliti TAG, Kate Morgan, kepada The Hacker News.

“Bahkan penyerang paling canggih pun hanya akan melakukan apa yang diperlukan untuk mencapai tujuan mereka.”[]