WinRAR-Lücke wird von staatlichen Angreifern missbraucht

Googles Threat Analysis Group (TAG) hat in den vergangenen Wochen mehrere regierungsgestützte Cybergangs beobachtet, die eine bekannte Sicherheitslücke in WinRAR angreifen. Die Lücke ermöglicht das Verschleiern von Dateiendungen und wurde ebenfalls mit WinRAR 6.23 geschlossen (CVE-2023-38831).

Die Lücke werde seit Anfang 2023 von Cyberkriminellen ausgenutzt, schreiben Googles IT-Forscher in ihrer Analyse. Zu dem Zeitpunkt war die Schwachstelle noch unbekannt. Zwar sei ein Update verfügbar, es scheinen jedoch noch viele Nutzerinnen und Nutzer verwundbar zu sein.

WinRAR-Lücke: Cyberkriminelle greifen nach PoC-Veröffentlichung an

Stunden nach der Veröffentlichung eines Blog-Beitrags von Group-IB kam es zur Veröffentlichung von Proof-of-Concept-Code (PoC) in öffentlichen Github-Repositories. Kurz danach haben Googles IT-Forscher beobachtet, wie finanziell motivierte Täter und auch Cybergangs (Advanced Persistent Threats, APTs) anfingen, mit der Schwachstelle zu experimentieren.

Daraufhin starteten einige Kampagnen. Googles TAG berichtet von der Gruppe Sandworm (Frozenbarents), die den russischen Streitkräften und dem russischen Geheimdienst zugeordnet werden, die den Energiesektor angegriffen hat und mit Hack- und Leak-Operationen fortfahre. Sie startete etwa am 6. September eine E-Mail-Kampagne, in der sie sich als ukrainische Drohnen-Kriegsführungsschule ausgaben. Opfer lockten die Mails mit einer Einladung, der Schule beizutreten. Hinter einem Link in der Mail verbarg sich ein PDF zur Tarnung und eine ZIP-Datei, die die Sicherheitslücke in WinRAR ausnutzte; der Name lautete übersetzt "Trainingsprogramm für Operators". Die Malware Rhadamanthys im Archiv kann als Infostealer unter anderem etwa Zugangsdaten aus dem Browser und Session-Informationen ausschleusen.

Am 4. September hat Googles TAG eine mit dem russischen Geheimdienst GRU verbandelte Cybergang APT28, oder auch Frozenlake, bei der Auslieferung von Schadsoftware im Energiesektor beobachtet. Die Gruppe setzte auf einen kostenlosen Hosting-Provider, um die Malware an Nutzerinnen und Nutzer in der Ukraine zu verteilen. Die Spearphishing-Kampagne setzte auf Browser-Checks, um sicherzustellen, dass die Besucher aus der Ukraine stammen, und versuchte, die Datei mit dem WinRAR-Exploit herunterzuladen. Getarnt war die Seite als Einladung zum ukrainischen Think-Tank Razumkov Centre.

Am 11. September wurde eine Datei auf Virustotal hochgeladen, die sich ebenfalls auf APT28/Frozenlake zurückführen ließ. Beim Ausnutzen der Schwachstelle erstellt sie eine .bat-Datei, die ein PDF zur Tarnung öffnet und zugleich eine Reverse-SSH-Shell zu einer von den Angreifern kontrollierten IP-Adresse öffnet. Zudem hat sie ein Skript namens Ironjaw in Powershell ausgeführt, das ebenfalls Daten stiehlt und exfiltriert. Auch von China gesteuerte Cybergangs hat Googles TAG entdeckt, die die WinRAR-Schwachstelle missbraucht haben. APT40 (Islanddreams) hat eine Phishing-Kampagne gegen Papua Neu Guinea gestartet. Ein Link in den Mails führte auf Dropbox, wo ein ZIP-Archiv mit Exploit lag. Auch hier sollte eine PDF-Datei von bösartigen Inhalten ablenken.

Installieren von Updates ist wichtig

Die zahlreichen Angriffe insbesondere nach Veröffentlichung der PoCs zeigen, dass das Installieren der bereitstehenden Updates unabdinglich sei. Auch die fortschrittlichsten Angreifer machten nicht mehr als nötig zum Erreichen ihrer Ziele, und das Nichtanwenden der Aktualisierungen vereinfache es ihnen unnötig. In der Analyse listen Googles IT-Forscher zudem noch Indizien für einen Befall (Indicators of Compromise, IOCs) auf.

Mitte August wurde bekannt, dass ältere WinRAR-Versionen eine Sicherheitslücke enthalten, die die Ausführung eingeschmuggelten Codes erlaubte. Schon zu dem Zeitpunkt wurde die Schwachstelle etwa zur Auslieferung der Malware "DarkMe" missbraucht. In Handelsforen hatten Cyberkriminelle zudem die zweite Lücke zum Verschleiern der Dateiendungen mit manipulierten ZIP-Dateien missbraucht, die sie dort verteilten. Sie brachten die Schädlinge DarkMe, GuLoader oder Remcos RAT mit und konnten das Geld der Broker etwa aus Krypto-Wallets abziehen.

(dmk)