Russia and China-Backed Hackers Exploit WinRAR Zero-Day Bug
背景
近日 Google 的安全研究人員表示他們發現與俄羅斯和中國相聯動的政府支援的駭客們正在利用 WinRAR 軟體中的漏洞進行攻擊。WinRAR 是一款廣受歡迎的用於 Windows 系統的共享軟體封存工具。這個漏洞最早是由網路安全公司 Group-IB 在今年早些時候發現的,漏洞編號為 CVE-2023-38831,它允許攻擊者將惡意指令碼隱藏在看似無害的影象或檔案封存檔案中。Group-IB 表示這個漏洞於今年 4 月份就被利用為零日漏洞(即在開發者修復漏洞之前就被利用),至少有 130 個交易商的裝置受到了攻擊。Rarlab 是 WinRAR 的開發公司,於 8 月 2 日發布了新版本 WinRAR(版本 6.23),以修復這個漏洞。然而 Google 的威脅分析組(TAG)本週表示他們的研究人員觀察到多個以國家為後盾的駭客組織利用這個安全漏洞,並指出仍未升級應用程式的“許多使用者”仍然容易受到攻擊。
攻擊者背景
Google 的研究人員表示他們觀察到多個駭客組織利用 WinRAR 的零日漏洞進行攻擊。其中一個組織被稱為“Sandworm”,是俄羅斯的一個軍事情報單位,以其 2017 年發起的 NotPetya 勒索軟體攻擊而聞名,該攻擊主要針對烏克蘭的電腦系統,並破壞了該國的電力系統。TAG 的研究人員觀察到 Sandworm 於 9 月初利用 WinRAR 漏洞進行攻擊,這是一個冒充烏克蘭無人機戰鬥訓練學校的惡意電子郵件活動。這些電子郵件包含一個連結到惡意封存檔案的連結,利用 CVE-2023-38831 漏洞,當受害者開啟封存檔案時,惡意軟體將安裝在受害者的裝置上,並窺取瀏覽器密碼。
TAG 表示他們還觀察到另一個惡名昭著的俄羅斯支援的駭客組織 APT28,通常被稱為 Fancy Bear,也利用了 WinRAR 的零日漏洞,冒充烏克蘭公共政策智庫 Razumkov Centre 的電子郵件活動。Fancy Bear 以其 2016 年針對美國民主黨全國委員會的駭客入侵和洩漏活動而聞名。Google 的研究發現是在威脅情報公司 Cluster25 早些時候發現俄羅斯駭客利用 WinRAR 漏洞進行釣魚活動,意在從受影響的系統收集憑證。Cluster25 表示但對 Fancy Bear 進行身份確認的信心程度為“低至中等”。
TAG 還發現證據表明中國支援的駭客組織 APT40(美國政府此前與中國國家安全部門相聯動)也利用了 WinRAR 的零日漏洞,作為針對巴布亞紐幾內亞使用者的釣魚活動的一部分。這些電子郵件包含了一個 Dropbox 連結,連結到一個包含 CVE-2023-38831 漏洞利用程式的封存檔案。
分析
這次事件突出了利用已知漏洞進行攻擊的效果之高,因為駭客利用慢慢的修補速度來獲得優勢。這也提醒著使用者和企業要確保定期升級他們的軟體和應用程式,以保護自己免受這樣的攻擊。在這種情況下,Rarlab 已經發布了修復漏洞的 WinRAR 新版本(版本 6.23),所以使用者應該儘快升級到這個新版本以保護自己的裝置免受攻擊。
社論
這次 WinRAR 漏洞的遭到利用凸顯了網路安全的重要性以及國際駭客活動對我們的日常生活和經濟體系的潛在威脅。政府應該加大投資於網路安全領域,以提高我們對這些攻擊的防禦能力。同時企業和組織應該重視網路安全,確保它成為其業務運營的一個重要方面。
對於個人使用者來說提高網路安全意識並保護自己的裝置和個人訊息至關重要。除了定期更新軟體和應用程式之外,還應該使用強大的密碼,避免點選可疑連結和附件以及安裝可信的防病毒軟體。
網路安全是我們當前社會面臨的一個長期挑戰,需要政府、企業和個人共同努力才能取得成功。
延伸閱讀
- 美國與英國警方識破、控告俄羅斯 LockBit 勒索軟體幫派領袖
- Change Healthcare 駭客使用被盜憑證入侵 - 聯合健康集團 CEO 表示沒有多重因素認證
- 前美國國家安全域性駭客與前蘋果研究員合力成立新創公司,保護蘋果裝置
- 聯合健康稱駭客竊取健康資料:影響美國大部分人口
- 蘋果因應國家命令,將 WhatsApp 和 Threads 從中國 App Store 下架
- 《Apex Legends 駭客稱遊戲開發者修補了直播主使用的漏洞》
- 烏克蘭網路警察如何對抗俄羅斯駭客
- 零日漏洞價格上漲!企業加固產品防護,駭客對抗技術升級
- 《Apex Legends 駭客自稱「只是為了好玩」竊取錦標賽遊戲》
- 寶可夢因駭客嘗試後重設一些使用者密碼