Google 보안 연구원들은 러시아와 중국과 연계된 국가 지원 해커들이 널리 사용되는 Windows 셰어웨어 보관 도구인 WinRAR의 패치된 취약점을 악용하고 있다는 증거를 발견했다고 밝혔습니다. 올해 초 사이버 보안 회사인 Group-IB에 의해 처음 발견되었으며 CVE-2023-38831로 번호가 지정된 WinRAR 취약점을 통해 공격자는 겉으로는 무해해 보이는 이미지나 텍스트 문서로 위장한 아카이브 파일에 악성 스크립트를 숨길 수 있습니다.
Group-IB는 이 취약점이 악용되기 전에 개발자들이 수정할 시간이 없었기 때문에 지난 4월 제로데이 취약점으로 악용되어 최소 130명의 금융 거래자의 장치를 손상시켰다고 밝혔습니다.
압축 도구를 만드는 Rarlab은 취약점을 수정하기 위해 8월 2일 WinRAR 업데이트 버전(버전 6.23)을 출시했습니다.
그러나 구글의 위협 분석 그룹(TAG)은 이번 주에 연구원들이 정부 지원을 받는 여러 해킹 그룹이 이 보안 결함을 악용하는 것을 목격했다고 밝혔으며, 앱을 업데이트하지 않은 "많은 사용자"가 여전히 취약하다고 지적했습니다. 출판에 앞서 TechCrunch와 공유한 연구에서 TAG는 러시아 및 중국과 연계된 국가 후원 해킹 그룹과 연계된 WinRAR 제로데이 취약점을 악용하는 여러 캠페인을 관찰했다고 밝혔습니다.
그룹 중 하나에는 Sandworm이라는 러시아 군사 정보 기관이 포함되어 있습니다. 이 그룹은 2017년에 시작한 NotPetya 랜섬웨어 공격과 같은 파괴적인 사이버 공격으로 유명합니다. 이 공격은 주로 우크라이나 컴퓨터 시스템을 공격하고 국가의 전력망을 교란시켰습니다.
TAG 연구원들은 9월 초 우크라이나 드론 전투 훈련 학교를 사칭한 악성 이메일 캠페인의 일환으로 WinRAR 결함을 악용하는 Sandworm을 관찰했습니다. 이메일에는 CVE-2023-38831을 악용하는 악성 아카이브 파일에 대한 링크가 포함되어 있습니다. 이 파일을 열면 피해자의 컴퓨터에 정보를 훔치는 악성 코드를 설치하고 브라우저 비밀번호를 훔칩니다.
이와 별도로 TAG는 러시아가 지원하는 또 다른 악명 높은 해킹 그룹(일반적으로 FancyBear로 알려진 APT28로 추적됨)이 Razumkov 센터(공공 정책)를 사칭한 이메일 캠페인을 가장하여 우크라이나 사용자를 표적으로 삼기 위해 WinRAR 제로 데이 공격을 이용했다는 사실을 관찰했다고 밝혔습니다. FancyBear는 2016년 민주당 전국위원회(DNC)를 표적으로 한 해킹 및 유출 캠페인으로 가장 잘 알려져 있습니다.
구글의 조사 결과는 지난주 러시아 해커들이 감염된 시스템에서 자격 증명을 수집하기 위한 피싱 캠페인에서 WinRAR 취약점을 악용하는 것을 목격했다고 밝힌 위협 정보 회사 Cluster25의 이전 발견에 따른 것입니다. Cluster25는 FancyBear가 캠페인의 배후에 있다는 것을 "낮음에서 중간 정도의 신뢰도"로 평가했다고 말했습니다.
구글은 연구원들이 이전에 미국 정부가 중국 국가안전부와 연계한 중국 지원 해킹 그룹인 APT40도 사용자를 대상으로 한 피싱 캠페인의 일환으로 WinRAR 제로데이 취약점을 악용했다는 증거를 발견했다고 덧붙였습니다. 파푸아뉴기니에서. 이메일에는 CVE-2023-38831 취약점이 포함된 아카이브 파일에 대한 Dropbox 링크가 포함되어 있습니다.
TAG 연구원들은 공격자가 느린 패치 속도를 이용하기 때문에 WinRAR 취약점의 지속적인 악용은 "알려진 취약점의 악용이 얼마나 효과적인지 강조"한다고 경고합니다.
자세히 알아보기:
https://blog.google/threat-analytic-group/government-backed-actors-exploiting-winrar-vulnerability/