Un certain nombre d’acteurs menaçants d’État en Russie et en Chine ont été observés en train d’exploiter une faille de sécurité récente dans l’outil d’archivage WinRAR pour Windows dans le cadre de leurs opérations.

La vulnérabilité en question est CVE-2023-38831 (score CVSS : 7,8), qui permet aux attaquants d’exécuter du code arbitraire lorsqu’un utilisateur tente d’afficher un fichier inoffensif dans une archive ZIP. Cette lacune est activement exploitée depuis au moins avril 2023.

Google Threat Analysis Group (TAG), qui a détecté ces activités ces dernières semaines, les a attribuées à trois groupes différents qu’il suit sous les surnoms géologiques FROZENBARENTS (alias Sandworm), FROZENLAKE (alias APT28) et ISLANDDREAMS (alias APT40).

L’attaque de phishing liée à Sandworm a usurpé l’identité d’une école ukrainienne de formation à la guerre par drones début septembre et a distribué un fichier ZIP malveillant exploitant le CVE-2023-38831 pour diffuser Rhadamanthys, un malware voleur de produits qui est proposé à la vente au prix de 250 $ pour un abonnement mensuel.

L’APT28, également affiliée à la Direction principale de l’état-major général des forces armées de la Fédération de Russie (GRU) comme c’est le cas de Sandworm, aurait lancé une campagne d’e-mails ciblant les organisations gouvernementales en Ukraine.

Lors de ces attaques, les utilisateurs ukrainiens ont été invités à télécharger un fichier contenant un exploit CVE-2023-38831 – un document leurre qui se faisait passer pour une invitation à un événement du Centre Razumkov, un groupe de réflexion sur les politiques publiques du pays.

Faille WinRAR

Le résultat est l’exécution d’un script PowerShell nommé IRONJAW qui vole les données de connexion du navigateur et les répertoires d’état locaux et exporte les informations vers une infrastructure contrôlée par un acteur sur un webhook.[.]site.

Le troisième acteur malveillant à exploiter le bug WinRAR est APT40, qui a déclenché une campagne de phishing ciblant la Papouasie-Nouvelle-Guinée dans laquelle les messages électroniques incluaient un lien Dropbox vers une archive ZIP contenant l’exploit CVE-2023-38831.

La séquence d’infection a finalement ouvert la voie au déploiement d’un compte-gouttes nommé ISLANDSTAGER, responsable du chargement de BOXRAT, une porte dérobée .NET qui utilise l’API Dropbox pour la commande et le contrôle.

La divulgation s’appuie sur les récentes découvertes de Cluster25, qui détaillent les attaques entreprises par l’équipe de piratage APT28 exploitant la faille WinRAR pour mener des opérations de collecte d’informations d’identification.

Certains des autres adversaires parrainés par l’État qui ont rejoint la mêlée sont Konni (qui partage des chevauchements avec un cluster nord-coréen suivi sous le nom de Kimsuky) et Dark Pink (alias Saaiwc Group), selon les conclusions de l’équipe Knownsec 404 et de NSFOCUS.

« L’exploitation généralisée du bug WinRAR montre que les exploits pour les vulnérabilités connues peuvent être très efficaces, malgré la disponibilité d’un correctif », a déclaré un chercheur de TAG.

Kate Morgan a dit. « Même les attaquants les plus sophistiqués ne feront que ce qui est nécessaire pour atteindre leurs objectifs. »

A lire également