ESET повідомляє про виявлення раніше невідомої уразливості в архіваторі WinRAR, яку використовувала пов’язана з росією група кіберзлочниців RomCom. Відповідно до даних телеметрії ESET, шкідливі архіви поширювалися через фішингові повідомлення, спрямовані на фінансові, виробничі, оборонні та логістичні компанії в Європі та Канаді. Метою цих атак було кібершпигунство.
«18 липня було виявлено шкідливу DLL-бібліотеку під назвою msedge.dll в архіві RAR, що містив незвичайні шляхи, які привернули увагу. Подальший аналіз показав використання зловмисниками раніше невідомої уразливості у WinRAR, включно з поточною на той час версією 7.12. Вже 24 липня ми зв’язалися з компанією-розробником WinRAR; того ж дня уразливість була виправлена в бета-версії, а повна версія була випущена через кілька днів. Ми радимо користувачам WinRAR якомога швидше встановити актуальну версію, щоб зменшити ризики», — попереджають спеціалісти ESET.
Уразливість дозволяла приховувати шкідливі файли в архіві, які непомітно розгортаються під час розпакування. Шкідливі файли поширювалися через цілеспрямовані електронні листи, а у разі успішної спроби компрометації на пристрій жертви завантажувалися різні бекдори, зокрема, SnipBot, RustyClaw та агент Mythic.
Спеціалісти ESET з високою впевненістю приписують виявлену діяльність групі RomCom на основі регіону поширення, тактик, методів та процедур, а також використаного шкідливого програмного забезпечення. RomCom є пов’язаною з росією групою, яка проводить шпигунські операції паралельно з традиційними кібератаками. Бекдор, який використовує група, здатний виконувати команди та завантажувати додаткові модулі на пристрій жертви.
Це не перший випадок, коли RomCom використовує експлойти для компрометації своїх жертв. У червні 2023 року група поширювала фішингові повідомлення, спрямовані на оборонні та урядові установи в Європі, з приманками, пов’язаними з темою Світового конгресу українців.
У зв’язку з небезпекою спеціалісти ESET рекомендують завжди використовувати актуальні версії програмного забезпечення та операційної системи, а також забезпечити багаторівневий захист корпоративної мережі з можливостями запобігання, виявлення та реагування на актуальні загрози.
Детальнішу інформацію про загрозу можна знайти за посиланням.
