Компания ESET – лидер в области информационной безопасности – сообщает об обнаружении ранее неизвестной уязвимости в архиваторе WinRAR, которую использовала связанная с россией группа киберпреступников RomCom. Согласно данным телеметрии ESET, вредоносные архивы распространялись через фишинговые сообщения, нацеленные на финансовые, производственные, оборонные и логистические компании Европы и Канады. Целью этих атак был кибершпионаж.
«18 июля была обнаружена вредоносная DLL-библиотека под названием msedge.dll в архиве RAR, содержавшем необычные пути, которые привлекли внимание. Дальнейший анализ показал использование злоумышленниками ранее неизвестной уязвимости в WinRAR, включая текущую версию 7.12. Уже 24 июля мы связались с компанией-разработчиком WinRAR; в тот же день уязвимость была исправлена в бета-версии, а полная версия была выпущена спустя несколько дней. Мы рекомендуем пользователям WinRAR как можно скорее установить актуальную версию, чтобы уменьшить риски», — предупреждают специалисты ESET.
Уязвимость позволяла скрывать вредоносные файлы в архиве, которые незаметно разворачиваются при распаковке. Вредоносные файлы распространялись через целенаправленные электронные письма, а при успешной попытке компрометации на устройство жертвы загружались различные бэкдоры, в частности, SnipBot, RustyClaw и агент Mythic.
Специалисты ESET с высокой уверенностью приписывают выявленную активность группе RomCom на основе региона распространения, тактик, методов и процедур, а также использованного вредоносного программного обеспечения. RomCom является связанной с россией группой, которая проводит шпионские операции параллельно с традиционными кибератаками. Бекдор, используемый группой, способен выполнять команды и загружать дополнительные модули на устройство жертвы.
Это не первый случай, когда RomCom использует эксплойты для компрометации своих жертв. В июне 2023 года группа распространяла фишинговые сообщения, направленные на оборонные и правительственные учреждения в Европе, с приманками, связанными с темой Всемирного конгресса украинцев.
В связи с опасностью специалисты ESET рекомендуют всегда использовать актуальные версии программного обеспечения и операционной системы, а также обеспечить многоуровневую защиту корпоративной сети с возможностями предотвращения, обнаружения и реагирования на актуальные угрозы.
Более подробную информацию об угрозе можно найти по ссылке.