يستغل المتسللون المدعومين من روسيا والصين خطأ WinRAR صفر يوم

يقول باحثو الأمن في Google إنهم وجدوا أدلة على أن المتسللين المدعومين من الحكومة والمرتبطين بروسيا والصين يستغلون ثغرة أمنية تم تصحيحها منذ ذلك الحين في WinRAR، أداة أرشفة البرامج التجريبية الشائعة لنظام التشغيل Windows.

تسمح ثغرة WinRAR، التي اكتشفتها شركة الأمن السيبراني Group-IB لأول مرة في وقت سابق من هذا العام وتم تتبعها باسم CVE-2023-38831، للمهاجمين بإخفاء البرامج النصية الضارة في ملفات الأرشيف التي تتنكر على شكل صور أو مستندات نصية تبدو غير ضارة. قالت Group-IB إن الخلل تم استغلاله كيوم صفر – حيث لم يكن لدى المطور أي وقت لإصلاح الخلل قبل استغلاله – منذ أبريل لاختراق أجهزة ما لا يقل عن 130 متداولًا.

أصدرت شركة Rarlab، التي تصنع أداة الأرشفة، نسخة محدثة من WinRAR (الإصدار 6.23) في 2 أغسطس لتصحيح الثغرة الأمنية.

وعلى الرغم من ذلك، قالت مجموعة تحليل التهديدات (TAG) التابعة لشركة جوجل هذا الأسبوع إن باحثيها لاحظوا أن العديد من مجموعات القرصنة المدعومة من الحكومة تستغل الثغرة الأمنية، مشيرة إلى أن “العديد من المستخدمين” الذين لم يقوموا بتحديث التطبيق ما زالوا عرضة للخطر. في بحث تمت مشاركته مع TechCrunch قبل نشره، تقول TAG إنها لاحظت حملات متعددة تستغل خطأ WinRAR، والذي ربطته بمجموعات القرصنة المدعومة من الدولة والتي لها روابط بروسيا والصين.

تضم إحدى هذه المجموعات وحدة استخبارات عسكرية روسية يطلق عليها اسم Sandworm، والمعروفة بالهجمات الإلكترونية المدمرة، مثل هجوم برنامج الفدية NotPetya الذي أطلقته في عام 2017 والذي أصاب في المقام الأول أنظمة الكمبيوتر في أوكرانيا وعطل شبكة الكهرباء في البلاد.

لاحظ باحثو TAG أن Sandworm تستغل ثغرة WinRAR في أوائل سبتمبر كجزء من حملة بريد إلكتروني ضارة انتحلت صفة مدرسة أوكرانية للتدريب على حرب الطائرات بدون طيار. تحتوي رسائل البريد الإلكتروني على رابط لملف أرشيف ضار يستغل CVE-2023-38831، والذي عند فتحه قام بتثبيت برامج ضارة لسرقة المعلومات على جهاز الضحية وسرقة كلمات مرور المتصفح

بشكل منفصل، تقول TAG إنها لاحظت مجموعة قرصنة أخرى سيئة السمعة مدعومة من روسيا، يتم تتبعها باسم APT28 والمعروفة باسم Fancy Bear، تستخدم WinRAR Zero-day لاستهداف المستخدمين في أوكرانيا تحت ستار حملة بريد إلكتروني تنتحل شخصية مركز Razumkov، وهي سياسة عامة مؤسسة فكرية في البلاد. تشتهر Fancy Bear بعملية الاختراق والتسريب ضد اللجنة الوطنية الديمقراطية في عام 2016.

وتأتي النتائج التي توصلت إليها جوجل في أعقاب اكتشاف سابق من قبل شركة استخبارات التهديدات Cluster25، التي قالت الأسبوع الماضي إنها لاحظت أيضًا أن المتسللين الروس يستغلون ثغرة WinRAR كحملة تصيد مصممة لجمع بيانات الاعتماد من الأنظمة المخترقة. وقالت Cluster25 إنها قيمت “بثقة منخفضة إلى متوسطة” أن Fancy Bear كانت وراء الحملة.

وأضافت جوجل أن باحثيها وجدوا أدلة على أن مجموعة القرصنة المدعومة من الصين، والمعروفة باسم APT40، والتي ربطتها الحكومة الأمريكية سابقًا بوزارة أمن الدولة الصينية، أساءت أيضًا استغلال ثغرة WinRAR كجزء من حملة تصيد احتيالي تستهدف المستخدمين على أساس في بابوا غينيا الجديدة. تضمنت رسائل البريد الإلكتروني هذه رابط Dropbox لملف أرشيف يحتوي على ثغرة CVE-2023-38831.

يحذر باحثو TAG من أن الاستغلال المستمر لخلل WinRAR “يسلط الضوء على أن عمليات استغلال الثغرات الأمنية المعروفة يمكن أن تكون فعالة للغاية” حيث يستخدم المهاجمون معدلات تصحيح بطيئة لصالحهم.