공격자들은 WinRAR 제로를 악용했습니다.

Jun 03, 2023

재정적 동기를 지닌 공격자들은 WinRAR(CVE-2023-38831)의 제로데이 취약점을 악용하여 거래자들이 브로커 계좌에서 돈을 훔칠 수 있는 악성 코드를 설치하도록 속였습니다.

Group-IB 악성 코드 분석가인 Andrey Polovinkin은 “이 취약점은 2023년 4월부터 악용되었습니다.”라고 말했습니다. 이 캠페인에서는 최소 130명의 거래자(그리고 그 이상)의 장치가 악성 코드에 감염되었습니다.

CVE-2023-38831은 파일 확장자 스푸핑 취약점으로, 이를 통해 공격자는 무해한 파일과 악성 파일(무해한 파일과 동일한 이름의 폴더에 있는 스크립트)이 포함된 수정된 RAR 또는 ZIP 아카이브를 생성할 수 있습니다.

“우리가 확인한 모든 아카이브는 동일한 방법을 사용하여 생성되었습니다. 또한 이들 모두는 미끼 파일과 악성 파일과 사용되지 않는 파일이 혼합된 폴더로 구성된 비슷한 구조를 가지고 있었습니다. 사용자가 .txt, .jpg로 나타나는 미끼 파일을 열면. 또는 WinRAR의 다른 파일 확장자를 사용하면 악성 스크립트가 대신 실행됩니다.”라고 Polovinkin은 설명했습니다.

환상을 완성하기 위해 미끼 파일도 열리지만 백그라운드에서 DarkMe, GuLoader 및/또는 Remcos RAT 악성 코드가 조용히 설치되어 공격자가 피해자의 컴퓨터에 원격으로 액세스할 수 있습니다.

Group-IB 위협 분석가들은 CVE-2023-38831이 2023년 7월 초에 DarkMe 악성코드를 확산시키는 데 악용되고 있음을 발견했습니다.

“처음에 우리 연구에서는 이것이 보안 연구원 Danor Cohen이 2014년에 발견한 알려진 취약점의 진화라고 믿게 되었습니다. ZIP 헤더를 수정하여 파일 확장자를 스푸핑하는 방법이 관찰되었지만, 추가 조사를 통해 이것이 사실이 아닌 것으로 밝혀졌습니다. 사건이다”라고 폴로빈킨은 지적했다.

위협 행위자는 전문 온라인 포럼을 통해 거래자를 표적으로 삼았습니다. 먼저 거래자를 토론에 참여시킨 다음 특정 문제나 관심사에 관한 전략이나 조언을 제공하는 문서를 제공하는 것으로 추정됩니다.

“영향을 받은 포럼 중 하나를 예로 들면, 일부 관리자는 유해한 파일이 포럼에서 공유되고 있다는 사실을 인지하고 사용자에게 경고를 보냈습니다. 이러한 경고에도 불구하고 추가 게시물이 작성되었고 더 많은 사용자가 영향을 받았습니다. 우리 연구원들은 또한 위협 행위자들이 포럼 관리자가 비활성화한 계정의 차단을 해제하여 스레드에 게시하거나 개인 메시지를 보내 악성 파일을 계속 퍼뜨릴 수 있다는 증거를 확인했습니다.”라고 덧붙였습니다.

위협 행위자가 피해자의 브로커 계좌에서 얼마나 많은 돈을 인출할 수 있었는지, 또는 이들이 어떤 사이버 범죄 그룹에 속해 있는지는 알려지지 않았습니다.

CVE-2023-38831은 심각도가 높은 RCE 취약점(CVE-2023-40477)과 함께 최신 WinRAR 업데이트(v6.23)에서 RARLAB에 의해 수정되었습니다.

WinRAR 사용자인 경우 가능한 한 빨리 이 버전으로 수동으로 업데이트하세요. 공개된 모든 취약점 정보를 통해 다른 공격자는 곧 원래의 공격을 복제하는 방법을 찾거나 기술에 익숙하지 않은 사이버 사기꾼이 이를 악용하기 위해 부비트랩 아카이브 파일을 생성할 수 있는 사용하기 쉬운 도구를 만들 수도 있습니다. 결함.