Google安全研究人員表示，他們發現證據表明，與俄羅斯和中國有關的政府支持的駭客正在利用WinRAR（流行的Windows 共享軟體歸檔工具）中已修補的漏洞。WinRAR 漏洞於今年稍早首次由網路安全公司Group-IB 發現，編號為CVE-2023-38831，該漏洞允許攻擊者在存檔文件中隱藏惡意腳本，這些腳本偽裝成看似無害的圖像或文本文件.

Group-IB 表示，該漏洞早在4 月就被當作零日漏洞利用，因為開發人員在漏洞被利用之前沒有時間修復該漏洞，從而危害了至少130 名金融交易者的設備。

製作壓縮工具的Rarlab 於8 月2 日發布了WinRAR 的更新版本（版本6.23）來修復漏洞。

儘管如此，Google威脅分析小組（TAG）本週表示，其研究人員觀察到多個政府支持的駭客組織利用該安全漏洞，並指出「許多用戶」尚未更新該應用程式仍然容易受到攻擊。在發布前與TechCrunch 分享的研究中，TAG 表示，它觀察到多個利用WinRAR 零日漏洞的活動，該漏洞與與俄羅斯和中國有聯繫的國家支持的駭客組織有關。

其中一個組織包括一個名為Sandworm 的俄羅斯軍事情報部門，該部門以破壞性網路攻擊而聞名，例如該組織於2017 年發起的NotPetya 勒索軟體攻擊，主要攻擊了烏克蘭的電腦系統並擾亂了該國的電網。

TAG 研究人員觀察到Sandworm 在9 月初利用了WinRAR 缺陷，作為冒充烏克蘭無人機戰爭訓練學校的惡意電子郵件活動的一部分。這些電子郵件包含一個利用CVE-2023-38831 的惡意存檔文件的鏈接，該文件打開後會在受害者的計算機上安裝竊取信息的惡意軟體並竊取瀏覽器密碼。

另外，TAG 表示，它觀察到另一個臭名昭著的俄羅斯支持的駭客組織（被追蹤為APT28，俗稱Fancy Bear）利用WinRAR 零日攻擊，以冒充Razumkov 中心（一項公共政策）的電子郵件活動為幌子，針對烏克蘭用戶進行攻擊。Fancy Bear 因2016 年針對民主黨全國委員會的駭客洩密行動而聞名。

Google的調查結果是在威脅情報公司Cluster25 的早期發現之後進行的，該公司上週表示，它還觀察到俄羅斯駭客利用WinRAR 漏洞進行網路釣魚活動，旨在從受感染的系統中獲取憑證。Cluster25 表示，它以「低到中度的信心」評估Fancy Bear 是活動的幕後黑手。

Google補充說，其研究人員發現證據表明，中國支持的駭客組織APT40（美國政府先前已將該組織與中國國家安全部聯繫起來）也濫用WinRAR 零日漏洞，作為針對用戶的網路釣魚活動的一部分。在巴布亞紐幾內亞。這些電子郵件包含指向包含CVE-2023-38831 漏洞的存檔檔案的Dropbox 連結。

TAG 研究人員警告說，對WinRAR 漏洞的持續利用“凸顯了對已知漏洞的利用可能非常有效”，因為攻擊者利用緩慢的修補速度來獲取優勢。

了解更多：