Google安全研究人员表示，他们发现证据表明，与俄罗斯和中国有关的政府支持的黑客正在利用WinRAR（流行的Windows共享软件归档工具）中已修补的漏洞。WinRAR漏洞于今年早些时候首次由网络安全公司Group-IB发现，编号为CVE-2023-38831，该漏洞允许攻击者在存档文件中隐藏恶意脚本，这些脚本伪装成看似无害的图像或文本文档。

Group-IB表示，该漏洞早在4月份就被当作零日漏洞利用，因为开发人员在漏洞被利用之前没有时间修复该漏洞，从而危害了至少130名金融交易者的设备。

制作压缩工具的Rarlab于8月2日发布了WinRAR的更新版本（版本 6.23）来修复该漏洞。

尽管如此，Google威胁分析小组（TAG）本周表示，其研究人员观察到多个政府支持的黑客组织利用该安全漏洞，并指出“许多用户”尚未更新该应用程序仍然容易受到攻击。 在发布前与TechCrunch分享的研究中，TAG表示，它观察到多个利用WinRAR零日漏洞的活动，该漏洞与与俄罗斯和中国有联系的国家支持的黑客组织有关。

其中一个组织包括一个名为Sandworm的俄罗斯军事情报部门，该部门以破坏性网络攻击而闻名，例如该组织于2017年发起的NotPetya勒索软件攻击，主要攻击了乌克兰的计算机系统并扰乱了该国的电网。

TAG研究人员观察到Sandworm在9月初利用了WinRAR缺陷，作为冒充乌克兰无人机战争训练学校的恶意电子邮件活动的一部分。 这些电子邮件包含一个利用CVE-2023-38831的恶意存档文件的链接，该文件打开后会在受害者的计算机上安装窃取信息的恶意软件并窃取浏览器密码。

另外，TAG表示，它观察到另一个臭名昭著的俄罗斯支持的黑客组织（被追踪为APT28，俗称Fancy Bear）利用WinRAR零日攻击，以冒充Razumkov中心（一项公共政策）的电子邮件活动为幌子，针对乌克兰用户进行攻击。Fancy Bear因2016年针对民主党全国委员会的黑客泄密行动而闻名。

Google的调查结果是在威胁情报公司Cluster25的早期发现之后进行的，该公司上周表示，它还观察到俄罗斯黑客利用WinRAR漏洞进行网络钓鱼活动，旨在从受感染的系统中获取凭据。Cluster25表示，它以“低到中度的信心”评估Fancy Bear是该活动的幕后黑手。

Google补充说，其研究人员发现证据表明，黑客组织APT40（美国政府此前已将该组织与中国国家安全部联系起来）也滥用WinRAR零日漏洞，作为针对用户的网络钓鱼活动的一部分。 在巴布亚新几内亚。 这些电子邮件包含指向包含CVE-2023-38831漏洞的存档文件的Dropbox链接。

TAG研究人员警告说，对WinRAR漏洞的持续利用“凸显了对已知漏洞的利用可能非常有效”，因为攻击者利用缓慢的修补速度来获取优势。

了解更多：

https://blog.google/threat-analysis-group/government-backed-actors-exploiting-winrar-vulnerability/