Государственные хакеры из России и Китая использовали известную уязвимость в устаревших версиях WinRAR, самого популярного в мире инструмента сжатия данных, насчитывающего более 500 млн. пользователей. Группа анализа угроз (Threat Analysis Group, TAG) компании Google сообщила, что с начала 2023 года было зафиксировано несколько хакерских кампаний с использованием ошибки WinRAR.
«Чтобы обеспечить защиту, мы настоятельно рекомендуем организациям и пользователям поддерживать программное обеспечение в актуальном состоянии и устанавливать обновления безопасности, как только они становятся доступными»
- заявила Кейт Морган (Kate Morgan) из Google в блоге TAG.
Уязвимость существует во всех продуктах RARLAB WinRAR до версии 6.23, выпущенной в августе, вскоре после обнаружения ошибки. Об уязвимости стало известно из статьи Group-IB, в которой рассказывается о том, как хакеры смогли проникнуть на финансовый форум трейдеров, заразить 130 устройств участников форума и вывести средства с их брокерских счетов.
«Злоумышленники используют уязвимость, которая позволяет им подменять расширения файлов. Они могут скрыть запуск вредоносного скрипта внутри архива, маскирующегося под „.jpg“, „.txt“ или любой другой формат файла»
- писал в августе Андрей Половинкин, аналитик по вредоносному ПО компании Group-IB
Sandworm специально нацеливалась на пользователей, имеющих некоторое отношение к энергетическому и оборонному сектору Украины и Восточной Европы, проводя фишинговые кампании. Другая группировка «APT 40», имеющая отношение к Китая, была идентифицирована компанией Google как ведущая вредоносную кампанию против Папуа-Новой Гвинеи.
В записи блога версии WinRAR 6.23, первом обновлении, исправляющем ошибку, RARLAB благодарит Group-IB и Zero Day Initiative за то, что они узнали об уязвимости, и «настоятельно рекомендует установить последнюю версию».
Комментарии (0)