ロシアの資金目的の Evilnum グループとのつながりがある可能性のある攻撃者が、人気のある WinRAR ファイル圧縮およびアーカイブ ユーティリティのパッチが適用されたバグを介して、オンライン仮想通貨取引フォーラムのユーザーをターゲットにしています。
CVE-2023-38831 として追跡されるこのバグにより、攻撃者は「.jpg」、「.txt」、その他のファイル形式を装った zip アーカイブに悪意のあるコードを隠し、オンラインの仮想通貨取引フォーラムで配布することができました。
数か月にわたるキャンペーン
この攻撃は、少なくとも XNUMX 月から続いています。Group-IB の研究者が脆弱性を発見し、WinRAR を開発および配布する企業、Rarlab に報告する約 XNUMX か月前のことです。
rarlab は 20 月 6.23 日にこの問題に対するベータ パッチを発行し、2 月 130 日に WinRAR の更新版 (バージョン XNUMX) を発行しました。それでも、人々が仮想通貨の取引に使用するフォーラム上の少なくとも XNUMX のシステムが感染したままです。 Group-IBは今週の報告書でこう述べた。。 セキュリティ ベンダーは、現時点で 500 億人と推定される WinRAR ユーザーに対し、この脆弱性を狙った攻撃にさらされる可能性を軽減するために、直ちに新しいバージョンをインストールするよう呼び掛けました。
Group-IB の研究者は、セキュリティ ベンダーが提供するリモート アクセス トロイの木馬である DarkMe に関連する脅威活動を調査しているときに、WinRAR のゼロデイ脆弱性を発見しました。 NSFocusは昨年初めて発見されました そしてEvilnumによるものと考えられています。 このマルウェアには、ターゲットを監視したり、他のマルウェアのローダーとして使用したりするためのさまざまな機能が組み込まれています。 NSFocus は、Evilnum グループがいくつかの国でオンライン カジノや取引プラットフォームを標的とした攻撃に DarkMe を導入していることを観察しました。
Group-IB が発見した脆弱性は、WinRAR が zip ファイル形式を処理する方法に起因していました。 これは基本的に、攻撃者にさまざまなタイプのマルウェア ツールを zip アーカイブに隠し、ターゲット システムに配布する方法を提供しました。 Group-IB の研究者は、この攻撃者が少なくとも XNUMX つのマルウェア ファミリをこの方法で配布していることを観察しました。 GuLoader, Remcos RAT.
その後、脅威アクターは、オンライン トレーダーが情報を共有したり、相互に関心のあるトピックについて話し合うために定期的に使用する少なくとも XNUMX つの公開フォーラムに、武器化した zip アーカイブを配布しました。
武器化された ZIP アーカイブ
ほとんどの場合、攻撃者はマルウェアが読み込まれた zip アーカイブをフォーラムの投稿、または他のフォーラム メンバーへのプライベート メッセージに添付しました。 投稿のトピックは、フォーラム メンバーの注目を集めるような内容になる傾向がありました。 たとえば、ある投稿では、攻撃者はビットコインで取引するための最善の個人戦略を提供すると称し、その投稿に悪意のある zip アーカイブを添付しました。 Group-IB は、攻撃者がフォーラムのアカウントにアクセスし、既存のディスカッション スレッドにマルウェアを挿入することも観察したと述べています。
いくつかの例では、攻撃者は catbox.moe と呼ばれる無料のファイル ストレージ サービスを介して zip アーカイブを配布しました。
このマルウェアはシステムにインストールされると、被害者の取引口座にアクセスし、不正な取引を実行してそこから資金を引き出します。
フォーラム管理者は、サイト経由で悪意のあるファイルが配布されていることに気づき、その脅威についてメンバーに警告しようとしたことが何度かありました。 これらの警告にもかかわらず、攻撃者は悪意のある添付ファイルを含むフォーラムへの投稿を続けました。 「私たちの研究者らは、脅威アクターが、脅威の投稿やプライベートメッセージの送信によって悪意のあるファイルを拡散し続けるために、フォーラム管理者によって無効にされたアカウントのブロックを解除できたという証拠も確認しました」とGroup-IBは述べた。
セキュリティ ベンダーによると、DarkMe トロイの木馬は、Evilnum がキャンペーンに関連していることを示唆していますが、Group-IB 自体は、WinRAR 攻撃がこの脅威グループによるものであると明確に特定できていません。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- チャートプライム。 ChartPrime でトレーディング ゲームをレベルアップしましょう。 こちらからアクセスしてください。
- ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/attacks-breaches/threat-actor-exploits-zero-day-in-winrar-to-target-crypto-accounts
- :持っている
- :は
- :not
- 20
- 23
- 500
- 7
- a
- できる
- 私たちについて
- アクセス
- アカウント
- アクティビティ
- 俳優
- 管理者
- 許可されて
- また
- an
- および
- 4月
- Archive
- アーカイブ
- AS
- 関連する
- At
- 攻撃
- 試みた
- 注意
- 8月
- 知って
- BE
- になりました
- き
- さ
- BEST
- ベータ
- Bitcoin
- バグ
- by
- 呼ばれます
- キャンペーン
- 例
- カジノ
- コード
- 会社
- 隠す
- Connections
- 続ける
- 継続します
- 国
- クリプト
- cryptocurrency
- 暗号化トランザクション
- 現在
- 配信する
- 展開する
- にもかかわらず
- 開発
- 無効
- 発見
- 話し合います
- 議論
- 分配します
- 配布
- 本質的に
- 推定
- さらに
- 証拠
- 例
- 実行された
- 既存の
- エクスプロイト
- 暴露
- 家族
- 少数の
- File
- 財政的に
- 名
- 形式でアーカイブしたプロジェクトを保存します.
- フォーラム
- フォーラム
- 発見
- 無料版
- から
- 機能
- 資金
- 利得
- 獲得
- 行く
- グラブ
- グループ
- 持ってる
- 隠す
- 認定条件
- HTTPS
- 直ちに
- in
- 情報
- install
- インストール
- 関心
- 調査中
- 問題
- 発行済み
- IT
- 自体
- JPG
- 7月
- 20 年XNUMX月
- 姓
- 最低
- ローダ
- make
- マルウェア
- メンバー
- メンバー
- メッセージ
- 百万
- 軽減する
- ヶ月
- 最も
- やる気
- 相互
- 新作
- 機会
- of
- 提供
- on
- ONE
- オンライン
- オンラインカジノ
- or
- その他
- 私たちの
- パック
- パッチ
- のワークプ
- 個人的な
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 人気
- 可能
- ポスト
- 投稿
- プライベート
- ラボレーション
- 公共
- 定期的に
- 関連する
- 残る
- リモート
- リモートアクセス
- レポート
- 報告
- 研究者
- ロシア
- s
- 前記
- 見ました
- 言う
- セキュリティ
- 送信
- サービス
- いくつかの
- シェアする
- 情報共有
- から
- サイト
- So
- 一部
- 何か
- 広がる
- スパイ
- 抑えた
- ストレージ利用料
- 戦略
- 提案する
- システム
- ターゲット
- 対象となります
- ターゲット
- ターゲット
- それ
- アプリ環境に合わせて
- それら
- その後
- ボーマン
- この
- 脅威
- 脅威アクター
- 脅威
- 三
- 〜へ
- 豊富なツール群
- トピック
- トピック
- トレード
- トレーダー
- トレーディング
- 取引プラットフォーム
- 取引
- トロイの
- 更新しました
- つかいます
- users
- ユーティリティ
- 多様
- さまざまな
- ベンダー
- バージョン
- 、
- 被害者
- 脆弱性
- 仕方..
- した
- いつ
- かどうか
- while
- 撤退する
- でしょう
- ゼファーネット
- 〒