Exploitation d'une vulnérabilité dans WinRAR lors de campagnes de phishing

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .

Dans un rapport publié le 18 octobre 2023, les chercheurs de Google ont révélé 3 campagnes d’attaques exploitant la vulnérabilité référencée CVE-2023-38831 (score CVSS de 7.8) dans WinRAR, réalisées par les modes opératoires FrozenBarents (alias Sandworm), FrozenLake (alias APT28) et IslandDreams (alias APT40).

Corrigée en août 2023, cette vulnérabilité permettait à un attaquant distant d’exécuter du code arbitraire sur le système ciblé en incitant une victime à ouvrir un fichier d’apparence légitime. Les campagnes observées par Google et Group-IB exploitaient cependant cette vulnérabilité dès le début de l’année 2023, avant sa découverte et la publication du correctif.

Retour sur les campagnes en cours

Campagne FrozenBarents

Le mode opératoire associé à la Russie a usurpé une école ukrainienne de formation à la guerre par drones dans un e-mail de phishing invitant les étudiants à rejoindre l’école. Le mail contenait un lien vers un service de partage de fichiers anonyme intégrant un fichier ZIP malveillant exploitant la CVE-2023-38831 pour déployer l’infostealer Rhadamanthys.

Google souligne que l’utilisation de ce Malware-as-a-Service(MaaS) est un comportement inhabituel pour l’acteur de la menace.

Campagne FrozenLake

Le mode opératoire associé à la Russie a réalisé une campagne de spear-phishing invitant les victimes à un événement du groupe de réflexion sur les politiques publiques en Ukraine, le Centre Razumkov. Le document demandait aux participants de se préenregistrer via un lien puis de télécharger un fichier contenant un exploit de la CVE-2023-38831 permettant d’exécuter le script PowerShell IronJaw, capable de voler les données de connexion des navigateurs ainsi que les répertoires d’etat local (local state directories).

Campagne IslandDreams

Le mode opératoire associé à la Chine a lancé une campagne de phishing ciblant la Papouasie-Nouvelle-Guinée. Les e-mails comprenaient un lien Dropbox vers une archive ZIP contenant l’exploit de la CVE-2023-38831, un PDF protégé par mot de passe et un fichier LNK. Une fois téléchargée, la payload nommée IslandStager était exécutée, entraînant le déploiement de la porte dérobée BoxRat.

Une vulnérabilité largement exploitée plus tôt en 2023

Focus sur l’attaque ayant visé une société de semi-conducteur russe

Plus tôt en septembre, les chercheurs de Cyble ont identifié une autre campagne exploitant cette même vulnérabilité pour cibler un fournisseur russe de semi-conducteurs.

En apparence légitime, le leurre de phishing distribué prend l’apparence d’un fichier PDF, servant en réalité de conteneur à un fichier CMD malveillant, présent dans le même dossier. Les 2 fichiers portent la même dénomination permettant d’induire les utilisateurs ciblés en erreur.

Les acteurs de la menace ont ensuite distribué la payload Athena qui dispose de nombreuses fonctionnalités conçues pour exécuter des shellcodes, effectuer des captures d’écran et charger des fichiers BOF.

Athena est issue du framework populaire Mythic, conçu pour fournir une interface collaborative sur GitHub à destination des équipes de red teaming. Mythic fournit une interface C2 basée sur le web, permettant aux acteurs de la menace d’interagir avec la payload déployée sur les systèmes compromis.

Bien qu’une payload issue du même framework ait été utilisée par APT-36 par le passé, aucun chevauchement de TTPs n’a été clairement identifié lors de cette nouvelle campagne d’attaques. Le mode opératoire n’a donc pas été attribué par les chercheurs de Cyble.

Autres exemples d’exploitation

La CVE-2023-38831 a déjà fait l’objet d’une large exploitation par les acteurs de la menace :

• Par le malware DarkMe, observé par Group-IB en août 2023 ;
• Vente d’un exploit par l’utilisateur AegisCrypter sur une marketplace russophone en septembre 2023 ;
• Publication sur GitHub d’un code d’exploitation (PoC) en Ruby et un code d’exploitation en Python en août et septembre ;
• Détournement de l’exploit pour distribuer le malware Venom RAT ;
• Intégration du PoC au sein de l’infostealer White Snake Stealer et du malware njRAT ;
• Exploitation de la vulnérabilité par le MOA GhostWriter observée par le CERT-UA.

Indices de compromission

url:https://fex[.]net/s/bttyrz4
url:https://fex[.]net/s/59znp5b
url:http://webhook[.]site/e2831741-d8c8-4971-9464-e52d34f9d611
url:https://filetransfer[.]io/data-package/DVagoJxL/download

file:86079a2d12b28a340281453efa0a7fd31c65ead11bab98edd94fe19aaff436eb
file:17269514f520cda20ecc78bdb0b3341a97bb03e155640704a87efff832555b14
file:79c78466d61b05466289f91122d2b7dbd56e895c15fe80d385885f9eddf31ca5
file:0fead8db0ee27f906d054430628bd8fd3b09ca75ff6067720a5b179f6a674c12
file:5261425cf389ed3a77ec5f03f73daf711e80d4918be3f0fba0152b424af7b684
file:07f8af85b8bbfb432d98b398b4393761c37596ee2cf3931564784bd3e8c2b1cc
file:072afea7cae714b44c24c16308da0ef0e5aab36b7a601b310d12f8b925f359e7
file:91dec1160f3185cec4cb70fee0037ce3a62497e830330e9ddc2898f45682f63a
file:77cf5efde721c1ff598eeae5cb3d81015d45a74d9ed885ba48330f37673bc799

ipv4:45[.]142[.]212[.]34
ipv4:162[.]159[.]137[.]232
ipv4:162[.]159[.]129[.]233
ipv4:162[.]159[.]122[.]233
ipv4:162[.]159[.]128[.]233
ipv4:216[.]66[.]35[.]145

Références

• https://cyble.com/blog/threat-actor-deploys-mythics-athena-agent-to-target-russian-semiconductor-suppliers/
• https://blog.google/threat-analysis-group/government-backed-actors-exploiting-winrar-vulnerability/
• https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day/
• https://github.com/HDCE-inc/CVE-2023-38831
• https://cert.gov.ua/article/5661411
• https://www.win-rar.com/singlenewsview.html?&L=0&tx_ttnews%5Btt_news%5D=232&cHash=c5bf79590657e32554c6683296a8e8aa