WinRAR の脆弱性 CVE-2023-38831 を悪用：ロシアのハッカーたちの攻撃で検出

Pro-Russian Hackers Exploiting Recent WinRAR Vulnerability in New Campaign

2023/10/16 TheHackerNews — 先日に公表された WinRAR アーカイブ・ユーティリティの脆弱性を悪用する、親ロシア派のハッキング・グループが、脆弱なシステムから認証情報を採取するフィッシング・キャンペーンを展開している。先週の Cluster25 のレポートには、「この攻撃は、WinRAR 圧縮ソフトウェアのバージョン 6.23 未満に存在する脆弱性 CVE-2023-38831 を介して、悪意のアーカイブ・ファイルを使用するものだ」と記されている。

このアーカイブには、ブービー・トラップが仕掛けられた PDF ファイルが取り込まれ、それをクリックすると Windows バッチ・スクリプトが実行され、PowerShell コマンドの起動によりリバース・シェルを開き、攻撃者による標的ホストへのリモート・アクセスにいたる。

また、Google Chrome／Microsoft Edge ブラウザからログイン情報などのデータを窃取する、PowerShell スクリプトも配置されている。それにより窃取された情報は、正規の Web サービス Webhook[.] サイトを経由して流出する。

この脆弱性 CVE-2023-38831 は、WinRAR における深刻度の高い欠陥であり、ZIP アーカイブ内の良性ファイルを閲覧しようとする際に、攻撃者による任意のコード実行にいたる可能性がある。2023年8月に Group-IB が発表した調査結果によると、このバグは 2023年4月以降において、トレーダーを標的にするゼロデイ攻撃で武器化されてきた。

Google 傘下の Mandiant が、ロシアの国家支援アクター APT29 による活動を明らかにした。それは、2023年前半のウクライナにおいて、外交機関を標的とするフィッシング活動が急速に進化したことに関連する。

Mandiant は、「APT29 のツールや手口における大きな変化は、作戦の頻度や対象を拡大し、フォレンジック分析を妨げるように設計されている可能性にある。さまざまな作戦において、さまざまな感染チェーンが、並行して使用されている」と述べている。

注目すべき変更点としては、第一段階のペイロードをホストするために、すでに侵害されている WordPress サイトを使用し、難読化と解析回避のためのコンポーネントの追加などが挙げられる。

クラウドへの攻撃にも関与する APT29 は、2022年の初めに勃発した戦争により台頭した、ウクライナを標的とするロシアの活動クラスターの１つである。

2023年7月に CERT-UA (Computer Emergency Response Team of Ukraine) は、ウクライナの防衛資産に対するスパイ攻撃において Turla が、Capibar マルウェアと Kazuar バックドアを展開したことを示唆している。

最近の Trend Micro のレポートには、「Turla グループは、長い活動歴と持続性を持つ敵対者である。その、起源／戦術／標的が示すのは、高度なスキルを持つ工作員を擁する、資金力のある組織であることだ。長年にわたって Turla は、そのツールやテクニックを開発し続けており、今後も磨きをかけてくるだろう」と記されている。

９月の報告書で CERT-UA は、クレムリンの支援を受けた脅威アクターが、ウクライナが捜査しているロシア兵による戦争犯罪の情報を窃取するために、同国内の法執行機関を標的にしていたことも明らかにした。

ウクライナの SSSCIP (State Service of Special Communications and Information Protection) は、「2023年に最も活発だったグループは、UAC-0010 (Gamaredon/FSB)、UAC-0056 (GRU)、UAC-0028 (APT28/GRU)、UAC-0082 (Sandworm/GRU) 、UAC-0144 / UAC-0024 / UAC-0003 (Turla)、UAC-0029 (APT29/ SVR)、UAC-0109 (Zarya)、UAC-0100、UAC-0106 (XakNet)、UAC-0107 (CyberArmyofRussia)」であると述べている。

CERT-UA が分析した、2023年上半期の深刻なサイバー・インシデントは 27件であり、2022年下半期の 144件および、2022年上半期の319件と比較して低減している。また、業務に影響を及ぼす破壊的なサイバー攻撃は、合計で 518件から 267件に減少した。

WinRAR の脆弱性 CVE-2023-38831 ですが、第一報は 2023/08.23 の「WinRAR のゼロデイ CVE-2023-38831 の悪用：世界中のトレーダーが狙われている」であり、それに 2023/08/24 の「WinRAR 脆弱性の悪用：DarkMe はマルウェアは Visual Basic のトロイの木馬」が続くという展開です。当初は、トレーダーが狙われているということで、経済的な目的を持つ脅威アクターたちの活動かと思われましたが、 親ロシア派のハッキング・グループによる悪用も始まったようです。