Ukraińska szkoła dronów. Podstęp Rosji

Specjaliści Google Threat Analysis Group (Google TAG) zidentyfikowali wiele podmiotów hakerskich sponsorowanych przez rządy, które w ramach prowadzonych kampanii wykorzystują znaną podatność CVE-2023-38831 w programie WinRAR (narzędzie do archiwizacji plików na Windowsie).

W analizie koncernu wskazano, że luka zaczęła być używana przez atakujących na początku bieżącego roku, gdy jej jeszcze nie wykryto i nie wydano łatki.

Dopiero w sierpniu wypuszczono stosowną aktualizację. Pomimo tego – w ocenie Google TAG – wciąż wiele podmiotów jest podatnych na zagrożenie a hakerzy nadal próbują wykorzystać wspomnianą podatność.

Operacje rosyjskiego GRU

Przykładem może być kampania grupy Sandworm, powiązanej z rosyjskim wywiadem wojskowym GRU. 6 września jej członkowie zaczęli wysyłać maile podszywające się pod ukraińską jednostkę szkolącą z zakresu walki z użyciem dronów.

W treści wiadomości znajdowało się zaproszenie do udziału w warsztatach, do którego załączony był załącznik (PDF). To nośnik złośliwego oprogramowania wykorzystującego lukę CVE-2023-38831. Mowa o narzędziu Rhadamanthys przeznaczonym do kradzieży informacji, w tym m.in. danych uwierzytelniających.

Podatność stara się wykorzystać również inna grupa GRU, czyli Fancy Bear (APT28). 4 września ukraiński CERT-UA ujawnił fakt próby użycia omawianej luki w celu zainfekowania infrastruktury energetycznej.

Google TAG wskazuje, że w tym przypadku wabikiem był dokument-zaproszenie na wydarzenie, które miało zostać wysłane rzekomo przez Centrum Razumkowa.

Aktualizacja WinRAR

W związku z ryzykiem należy zaktualizować WinRAR do najnowszej wersji. To pozwoli na załatanie wykorzystywanej przez hakerów luki i podniesienie poziomu cyberbezpieczeństwa.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].