Vládami podporovaní hackeři z Ruska a Číny zneužívají již delší dobu známou zranitelnost ve starších verzích WinRARu – oblíbeného komprimačního nástroje, který po celém světě používá více než 500 milionů uživatelů. Skupina pro analýzu hrozeb (Threat Analysis Group; TAG) společnosti Google ve středu uvedla, že od začátku roku 2023 zaznamenala řadu kampaní využívajících právě tuto chybu.
„Skupina pro analýzu hrozeb v posledních týdnech zaznamenala několik hackerských skupin podporovaných vládami, které zneužívaly známou zranitelnost CVE-2023-38831 v programu WinRAR,“ uvedla v příspěvku na blogu TAG Kate Morgan. „Abychom zajistili ochranu, vyzýváme organizace a uživatele, aby aktualizovali software a instalovali bezpečnostní aktualizace, jakmile budou k dispozici.“
Bezpečnostní chyba ve WinRARu
Chyba se vyskytuje ve všech produktech WinRAR společnosti RARLAB před verzí 6.23, která byla vydána krátce po objevení chyby na začátku srpna. Na zranitelnost upozornila singapurská kyberbezpečnostní společnost Group-IB, která zjistila, jak se hackerům podařilo proniknout do finančního fóra plného obchodníků, infikovat 130 zařízení členů a vybrat prostředky z jejich makléřských účtů.
„Kyberzločinci využívají zranitelnost, která jim umožňuje podvrhnout přípony souborů,“ napsal v srpnu analytik malwaru ze společnosti Group-IB Andrey Polovinkin. „Jsou schopni skrýt spuštění škodlivého skriptu v archivu maskovaném jako soubor formátu '.jpg', '.txt' nebo jiném.“
Útok funguje tak, že když uživatel dvakrát klikne na zdánlivě neškodný soubor poc.png_ (podtržítko se v tomto případě používá pro označení mezery) z uživatelského rozhraní komprimačního programu, WinRAR před verzí 6.23 místo toho spustí soubor poc.png_/poc.png_.cmd.
Chyba v nástroji ShellExecute následně způsobuje, že se při pokusu o otevření souboru s příponou obsahující mezery použije logika hledání výchozí přípony. To způsobí, že je vybrán a neúmyslně spuštěn úplně jiný soubor poc.png_.cmd, přestože to nebyl soubor, na který uživatel původně dvakrát kliknul.
Díru zneužívají Rusové i Číňani
Zranitelnost ve WinRARu zneužívala například ruská armádní hackerská skupina Sandworm. Ta se prostřednictvím phishingových kampaní zaměřovala zejména na uživatele, kteří měli nějaké spojení s energetickým a obranným sektorem na Ukrajině a ve východní Evropě. Skupina, spadající pod jednotku 74455 Hlavního ředitelství generálního štábu (GRU) ruských ozbrojených sil, spustila 6. září e-mailovou kampaň, ve které se vydávala za ukrajinskou školu pro výcvik boje s drony.
Další skupina APT 40 byla spojena s čínským ministerstvem zahraničí, a dle Googlu spustila koncem srpna phishingovou kampaň zaměřenou na Papuu-Novou Guineu. Phishingové e-maily obsahovaly odkaz na archiv ZIP v Dropboxu, obsahující dokument PDF, který zneužíval výše uvedenou bezpečnostní chybu.
V poznámkách k programu WinRAR ve verzi 6.23, která bezpečnostní chybu opravuje, společnost RARLAB poděkovala Group-IB a iniciativě Zero Day Initiative za upozornění na tuto zranitelnost a důrazně doporučila instalaci nejnovější verze.
Rozsáhlé zneužití chyby ve WinRARu ukazuje, že využívání známých zranitelností může být velmi účinné, přestože je k dispozici záplata. I ti nejrafinovanější útočníci udělají jen to, co je nezbytné k dosažení jejich cílů. Tyto kampaně tak zcela jednoznačně zdůrazňují důležitost záplatování.