TAG araştırmacısı, “WinRAR hatasının yaygın şekilde kullanılması, bilinen güvenlik açıklarından yararlanmanın, mevcut bir yama olmasına rağmen son derece etkili olabileceğini vurgulamaktadır
Sandworm ile bağlantılı kimlik avı saldırısı, Eylül ayı başlarında Ukrayna’daki bir drone savaş eğitim okulunun kimliğine büründü ve aylık abonelik için 250 $ karşılığında satışa sunulan bir emtia hırsızı kötü amaçlı yazılım olan Rhadamanthys’i sunmak için CVE-2023-38831’i kullanan kötü amaçlı bir ZIP dosyası dağıttı NET arka kapısı olan BOXRAT’ın yüklenmesinden sorumlu olan ISLANDSTAGER adlı bir damlalığın konuşlandırılmasının yolunu açtı
Açıklama, kimlik bilgisi toplama operasyonlarını yürütmek için WinRAR kusurundan yararlanan APT28 korsan ekibi tarafından gerçekleştirilen saldırıların ayrıntılarını içeren Cluster25’ten elde edilen son bulgulara dayanıyor ”
Kate Morgan dedi
Sonuç, tarayıcı oturum açma verilerini ve yerel durum dizinlerini çalan ve bilgileri webhook üzerindeki aktör kontrollü bir altyapıya aktaran IRONJAW adlı bir PowerShell betiğinin yürütülmesidir
19 Ekim 2023Haber odasıSiber Tehdit / Güvenlik Açığı
Rusya ve Çin’den bir dizi devlet destekli tehdit aktörünün, operasyonlarının bir parçası olarak Windows için WinRAR arşivleme aracında yakın zamanda ortaya çıkan bir güvenlik açığından yararlandığı gözlemlendi
Bulaşma dizisi sonuçta komuta ve kontrol için Dropbox API’sini kullanan bir
Bu saldırılarda, Ukraynalı kullanıcılardan CVE-2023-38831 istismarını içeren bir dosyayı indirmeleri istendi; bu, ülkedeki bir kamu politikası düşünce kuruluşu olan Razumkov Center’dan bir etkinlik davetiyesi gibi görünen sahte bir belgeydi
Söz konusu güvenlik açığı CVE-2023-38831’dir (CVSS puanı: 7,8), kullanıcı ZIP arşivindeki zararsız bir dosyayı görüntülemeye çalıştığında saldırganların rastgele kod yürütmesine olanak tanır
WinRAR hatasını istismar eden üçüncü tehdit aktörü, Papua Yeni Gine’yi hedef alan ve e-posta mesajlarının CVE-2023-38831 istismarını içeren bir ZIP arşivine bir Dropbox bağlantısı içeren bir kimlik avı kampanyasını başlatan APT40’tır
APT28, aynı zamanda Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı Ana Müdürlüğüne bağlı (GRU) Sandworm’da olduğu gibi Ukrayna’daki devlet kurumlarını hedef alan bir e-posta kampanyası başlattığı söyleniyor ”
siber-2
Google Tehdit Analiz Grubu (TAG), saptanmış Son haftalardaki faaliyetler, onları FROZENBARENTS (aka Sandworm), FROZENLAKE (aka APT28) ve ISLANDDREAMS (aka APT40) jeolojik isimleri altında takip ettiği üç farklı kümeye bağladı
Mücadeleye katılan diğer devlet destekli düşmanlardan bazıları Konni’dir (ki bu da hisseler örtüşmeler göre, Kimsuky olarak takip edilen Kuzey Koreli bir küme) ve Dark Pink (diğer adıyla Saaiwc Grubu) bulgular itibaren Bilinen sec 404 ekibi Ve NODAK “En gelişmiş saldırganlar bile yalnızca hedeflerine ulaşmak için gerekli olanı yapar [