Güvenlik sağlayıcısı, artık yamalanmış olan hatayı hedef alan saldırıların en az Nisan 2023’ten bu yana devam ettiğini söylüyor.
Rusya’nın mali motivasyonlu Evilnum grubuyla olası bağlantıları olan bir tehdit aktörü, popüler WinRAR dosya sıkıştırma ve arşivleme yardımcı programındaki artık yamalanmış bir hata aracılığıyla çevrimiçi kripto para birimi ticaret forumlarındaki kullanıcıları hedef alıyor.
CVE-2023-38831 olarak izlenen hata, saldırganların “.jpg”, “.txt” ve diğer dosya biçimleri gibi görünen zip arşivlerinde kötü amaçlı kod gizlemelerine ve daha sonra bunları çevrimiçi kripto para birimi ticaret forumlarında dağıtmalarına olanak tanıyordu.
Aylar Süren Kampanya
Saldırılar en azından Nisan ayından bu yana devam ediyordu – Group-IB’deki araştırmacıların güvenlik açığını keşfedip WinRAR’ı geliştiren ve dağıtan Rarlab’a bildirmesinden yaklaşık üç ay önce.
Rarlab 20 Temmuz’da sorun için bir beta yama ve 2 Ağustos’ta WinRAR’ın güncellenmiş bir sürümünü (sürüm 6.23) yayınladı. Group-IB bu hafta yayınladığı bir raporda, buna rağmen insanların kripto para ticareti yapmak için kullandıkları forumlarda en az 130 sisteme virüs bulaştığını söyledi. Güvenlik tedarikçisi, şu anda 500 milyon olduğu tahmin edilen WinRAR kullanıcılarını, güvenlik açığını hedef alan saldırılara maruz kalmalarını azaltmak için yeni sürümü hemen yüklemeye çağırdı.
Group-IB araştırmacıları, güvenlik sağlayıcısı NSFocus’un ilk kez geçen yıl keşfettiği ve Evilnum’a atfettiği bir uzaktan erişim Truva atı olan DarkMe ile ilgili tehdit faaliyetlerini araştırırken WinRAR’daki o zamanki sıfır gün güvenlik açığını keşfettiler. Kötü amaçlı yazılım, hedefleri gözetlemek ya da diğer kötü amaçlı yazılımlar için yükleyici olarak kullanılmak üzere çeşitli işlevleri bir araya getiriyor. NSFocus, Evilnum grubunun DarkMe’yi çeşitli ülkelerdeki çevrimiçi kumarhaneleri ve ticaret platformlarını hedef alan saldırılarda kullandığını gözlemledi.
Group-IB’nin bulduğu güvenlik açığı WinRAR’ın zip dosya formatını işleme şeklinden kaynaklanıyordu. Bu açık, saldırganlara çeşitli kötü amaçlı yazılım araçlarını zip arşivlerinde gizleme ve hedef sistemlere dağıtma imkanı veriyordu. Group-IB araştırmacıları, tehdit aktörünün bu şekilde en az üç kötü amaçlı yazılım ailesi dağıttığını gözlemledi: DarkMe, GuLoader ve Remcos RAT.
Tehdit aktörü daha sonra silahlandırılmış zip arşivlerini, çevrimiçi tüccarların bilgi paylaşmak ve ortak ilgi alanlarını tartışmak için düzenli olarak kullandıkları en az sekiz halka açık forumda dağıttı.
Silahlandırılmış Zip Arşivleri
Çoğu durumda, saldırgan kötü amaçlı yazılım yüklü zip arşivini bir forum gönderisine veya diğer forum üyelerine gönderdiği özel mesajlara eklemiştir. Gönderilerin konusu bir forum üyesinin dikkatini çekecek bir şey olma eğilimindeydi. Örneğin, bir gönderide, tehdit aktörü bitcoin ile ticaret yapmak için en iyi kişisel stratejisini sunduğunu iddia etti ve kötü amaçlı zip arşivini bu gönderiye ekledi. Group-IB, tehdit aktörünün forum hesaplarına erişim sağladığını ve kötü amaçlı yazılımlarını mevcut tartışma konularına eklediğini de gözlemlediğini söylüyor.
Birkaç örnekte, saldırgan zip arşivlerini catbox.moe adlı ücretsiz bir dosya depolama hizmeti aracılığıyla dağıttı.
Kötü amaçlı yazılım bir sisteme yüklendikten sonra, kurbanın alım satım hesaplarına erişim kazanmış ve bu hesaplardan para çekmek için yetkisiz işlemler gerçekleştirmiştir.
Birkaç kez, forum yöneticileri siteleri aracılığıyla dağıtılan kötü amaçlı dosyaların farkına varmış ve üyeleri tehdit konusunda uyarmaya çalışmışlardır. Bu uyarılara rağmen, tehdit aktörü forumda kötü niyetli ekler içeren paylaşımlar yapmaya devam etti. Group-IB, “Araştırmacılarımız ayrıca, tehdit aktörlerinin forum yöneticileri tarafından devre dışı bırakılan hesapların engelini kaldırarak, gerek tehdit içerikli paylaşımlarda bulunarak gerekse özel mesajlar göndererek kötü amaçlı dosyaları yaymaya devam edebildiklerine dair kanıtlar gördü” dedi.
Güvenlik tedarikçisine göre, DarkMe Trojan Evilnum’un kampanyayla ilişkili olduğunu düşündürse de, Group-IB WinRAR saldırılarını kesin olarak tehdit grubuyla ilişkilendiremedi.
