|
Эксперты по кибербезопасности компании Google утверждают, что есть свидетельства того, что хакеры, связанные с российскими и китайскими властями, используют уязвимость в популярном архиваторе WinRAR.
Уязвимость (CVE-2023-38831), обнаруженная в этом году специалистом по кибербезопасности Group-IB, позволяет внедрять в архив вредоносные скрипты, замаскированные под безобидные на первый взгляд файлы изображений или текстовые документы. В апреле ошибка была классифицирована как уязвимость нулевого дня (уязвимость, которая еще не закрыта разработчиками) и использована группой злоумышленников, скомпрометировавших компьютеры не менее 130 трейдеров.
Компания Rarlab, разработчик архиватора, 2 августа выпустила обновление WinRAR 6.23, устраняющее эту уязвимость. Однако, по данным группы анализа угроз (TAG) компании Google, хакеры, связанные с российскими и китайскими властями, продолжают использовать эту уязвимость, поскольку многие пользователи еще не обновили свое программное обеспечение, что делает их компьютеры уязвимыми.
К числу кибератак, воспользовавшихся этой уязвимостью, по одной из версий, относятся группировка Sandworm, вызвавшая в 2017 году инцидент с вымогательством NotPetya, и APT28, известная как Fancy Bear, которая ранее обвинялась в кибератаке на ресурсы одной из политических партий США в 2016 году, APT40, группа, предположительно связанная с Пекином, которая совершала кибератаки на пользователей в Папуа-Новой Гвинее.
Все эти группы запустили фишинговые кампании, основанные на предположении, что жертвы сами откроют зараженные архивы. По мнению экспертов TAG, эти инциденты указывают на эффективность кибератак, даже если они направлены на уязвимости, которые уже известны и исправлены разработчиками программного обеспечения. |
