Обновления от Группы анализа угроз (TAG)
Государственные акторы используют уязвимость WinRAR
18 октября 2023 года
В последние недели Группа анализа угроз Google (TAG) наблюдала, как несколько групп хакеров, поддерживаемых государством, используют известную уязвимость CVE-2023-38831 в WinRAR, популярном инструменте для архивирования файлов на Windows. Группы киберпреступников начали использовать эту уязвимость в начале 2023 года, когда ошибка все еще была неизвестна защитникам. Теперь доступен патч, но многие пользователи все еще остаются уязвимыми. TAG наблюдала, как государственные акторы из ряда стран используют уязвимость WinRAR в рамках своих операций.
Чтобы обеспечить защиту, мы призываем организации и пользователей поддерживать программное обеспечение в актуальном состоянии и устанавливать обновления безопасности сразу после их выхода. После того как уязвимость будет устранена, злоумышленники продолжат использовать уязвимости на протяжении нескольких дней и использовать медленное обновление в своих интересах. Мы также рекомендуем использовать Safe Browsing и Gmail от Google, которые блокируют файлы, содержащие эксплойт.
Патч и доказательство концепции
В августе 2023 года RARLabs выпустила обновленную версию WinRAR, в которую были внесены исправления для нескольких уязвимостей безопасности. Одна из этих уязвимостей, позднее присвоенная CVE-2023-38831, является логической уязвимостью в WinRAR, вызывающей избыточное расширение временных файлов при обработке специально подготовленных архивов, в сочетании с особенностью реализации функции ShellExecute в Windows при попытке открыть файл с расширением, содержащим пробелы. Уязвимость позволяет злоумышленникам выполнять произвольный код, когда пользователь пытается просмотреть безобидный файл (например, обычный PNG-файл) внутри ZIP-архива.
Как подробно описано в блоге Group-IB, уязвимость использовалась как 0-day киберпреступниками с апреля 2023 года в кампаниях, нацеленных на финансовых трейдеров, для доставки различных семейств вредоносного ПО. Через несколько часов после публикации блога были загружены доказательства концепции и генераторы эксплойтов в публичные репозитории GitHub. Вскоре после этого TAG начала наблюдать активность тестирования как со стороны финансово мотивированных, так и APT-актеров, экспериментирующих с CVE-2023-38831.
Уязвимость
Рассмотрим следующую структуру архива:
Когда пользователь дважды щелкает по безобидному файлу “poc.png_” (подчеркивание используется для обозначения пробела) в интерфейсе WinRAR, WinRAR до версии 6.23 вместо этого выполнит “poc.png_/poc.png_.cmd”.
После того как пользователь дважды щелкает по файлу, WinRAR пытается определить, какие файлы нужно временно расширить, перебирая все записи архива. Однако из-за способа, которым происходит сопоставление, если обнаружена директория с тем же именем, что и выбранный элемент, как выбранный файл, так и файлы внутри совпадающей директории извлекаются в корень случайной временной директории.
Псевдокод ниже показывает логику извлечения WinRAR и то, должна ли быть извлечена запись архива:
При записи содержимого файлов WinRAR выполняет нормализацию пути, удаляющую добавленные пробелы, так как Windows не разрешает файлы с конечными пробелами.
Наконец, WinRAR вызывает ShellExecuteExW, передавая ненормализованный путь с конечным пробелом “%TEMP%{random_directory}poc.png_” для выполнения выбранного пользователем файла. Внутри ShellExecute пытается определить расширения файлов, вызывая “shell32!PathFindExtension”, что не удается, так как расширения с пробелами считаются недопустимыми. Вместо того чтобы завершить выполнение, ShellExecute продолжает вызывать “shell32!ApplyDefaultExts”, который перебирает все файлы в директории, находя и выполняя первый файл с расширением, соответствующим любому из жестко закодированных: “.pif, .com, .exe, .bat, .lnk, .cmd”.
Обратите внимание, что хотя большинство образцов, использующих CVE-2023-3883, используют запись архива с конечным пробелом, это не является обязательным, и пробел в любом положении в расширении файла достаточно для активации ошибки (например, запись с “poc.invalid_ext” также приведет к тому, что будет выполнен код “shell32!ApplyDefaultExts”).
Эта особенность в ShellExecute, вызывающая применение логики поиска расширений по умолчанию при попытке открыть файл с расширением, содержащим пробелы, и является причиной выбора и незапланированного выполнения “poc.png_.cmd”, даже если это не был файл, на который изначально дважды щелкнул пользователь.
Кампании
FROZENBARENTS выдает себя за школу подготовки дронов Украины для доставки инфостилера Rhadamanthys
В блоге ранее в этом году TAG сообщила о FROZENBARENTS (также известной как SANDWORM), нацеливающейся на энергетический сектор и продолжающей операции по взлому и утечке. Группа, приписываемая Главному управлению Генерального штаба Вооруженных сил России (ГРУ) и подразделению 74455, 6 сентября запустила email-кампанию, выдавая себя за украинскую школу боевых дронов.
Используя приманку в виде приглашения присоединиться к школе, email содержал ссылку на анонимный сервис обмена файлами, fex[.]net, который доставлял безобидный PDF-документ с учебным планом для операторов дронов и вредоносный ZIP-файл, использующий CVE-2023-38831 под названием “Навчальна-програма-Оператори.zip”.
Вредоносный код, найденный в “Навчальна-програма-Оператори.pdf /Навчальна-програма-Оператори.pdf_.bat”, был упакованным инфостилером Rhadamanthys. Rhadamanthys является товарным инфостилером, который может собирать и эксфильтровать учетные данные браузера и информацию о сессиях, среди прочего. Он работает на основе подписки и может быть арендован всего за 250 долларов на 30 дней. Использование коммерчески доступных инфостилеров, обычно применяемых киберпреступниками, является нетипичным для FROZENBARENTS.
Кампания FROZENLAKE по фишингу, нацеленная на государственные организации Украины, размещенная на сервисах тестирования API
4 сентября CERT-UA опубликовала информацию о FROZENLAKE (также известной как APT28), группе, приписываемой российскому ГРУ, использующей CVE-2023-38831 для доставки вредоносного ПО, нацеленного на энергетическую инфраструктуру. TAG наблюдала, что FROZENLAKE использовала бесплатного хостинг-провайдера для доставки CVE-2023-38831 и нацеливалась на пользователей в Украине. Начальная страница перенаправляла пользователей на сайт mockbin для проверки браузера и перенаправления на следующий этап, который обеспечивал, что посетитель приходит с IPv4-адреса в Украине и предлагал пользователю скачать файл, содержащий эксплойт CVE-2023-38831. Ложный документ был приглашением на мероприятие от Разумковского центра, аналитического центра по общественной политике в Украине.
FROZENLAKE использует IRONJAW с обратным SSH-каналом
Образец с именем файла “IOC_09_11.rar” был загружен в VirusTotal 11 сентября. Образец использует CVE-2023-38831, чтобы сбросить BAT-файл, который открывает ложный PDF-документ и создает обратный SSH-канал на IP-адрес, контролируемый злоумышленником, и выполняет скрипт IRONJAW с помощью PowerShell.
IRONJAW — это небольшой PowerShell-скрипт, который крадет данные для входа в браузер и локальные каталоги состояния, эксфильтруя их на C2 по адресу “http://webhook[.]site/e2831741-d8c8-4971-9464-e52d34f9d611”. IRONJAW был впервые замечен в распространении через ISO-файлы, размещенные на бесплатных хостинг-провайдерах, с конца июля по начало августа и приписывается FROZENLAKE. Дополнительная доставка IRONJAW через эксплуатацию CVE-2023-38831 и обратный SSH-канал стали новыми дополнениями к типичному инструментарию FROZENLAKE.
ISLANDDREAMS доставляет BOXRAT в кампании, нацеленной на Папуа-Новую Гвинею
TAG также наблюдала, как группы, поддерживаемые государством и связанные с Китаем, используют CVE-2023-38831. В конце августа ISLANDDREAMS (также известная как APT40) запустила фишинг-кампанию, нацеленную на Папуа-Новую Гвинею. Фишинговые письма содержали ссылку на Dropbox на ZIP-архив, содержащий эксплойт CVE-2023-38831, защищенный паролем ложный PDF и файл LNK.
Следующий этап вредоносного кода, ISLANDSTAGER, представляет собой либо XOR-кодированную DLL, найденную в жестко заданном смещении внутри LNK, либо загруженную с жестко заданного URL сервиса обмена файлами.
ISLANDSTAGER затем выполняется, запуская легитимный процесс “ImagingDevices.exe”, который загружает вредоносный “STI.dll” из “%ProgramData%MicrosoftDeviceSync”. ISLANDSTAGER настраивает постоянство, добавляя “ImagingDevices.exe” в ключ реестра “CurrentVersionRun”. Затем он декодирует несколько уровней оболочки, последний из которых сгенерирован с помощью Donut, который загружает и выполняет финальный полезный код, BOXRAT, в памяти. BOXRAT — это .NET-бэкдор, который использует API Dropbox в качестве механизма C2.
Заключение
Широкое использование ошибки WinRAR подчеркивает, что эксплойты известных уязвимостей могут быть очень эффективными, несмотря на наличие патча. Даже самые сложные злоумышленники будут делать только то, что необходимо для достижения своих целей. Эти недавние кампании, использующие ошибку WinRAR, подчеркивают важность патчирования и то, что еще много работы предстоит для упрощения пользователям процесса поддержания их программного обеспечения в безопасности и актуальности. TAG продолжит собирать и делиться информацией о угрозах для защиты пользователей в интернете и продуктов Google, в то время как мы призываем организации и пользователей поддерживать свое программное обеспечение в актуальном состоянии.
Индикаторы компрометации (IoCs)
- FROZENBARENTS
- FROZENLAKE
- ISLANDDREAMS