WinRAR exploité pour attaquer les ambassades

Traduit de l’article original. « APT29 est désigné par de multiples noms (UNC3524,/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm) et a ciblé des 'ambassades avec un leurre de vente d’une voiture BMW. L'archive malveillante est appelée "DIPLOMATIC-CAR-FOR-SALE-BMW.pdf" et a ciblé plusieurs pays du continent européen, notamment l'Azerbaïdjan, la Grèce, la Roumanie et l'Italie.

La faille de sécurité CVE-2023-38831 affecte les versions de WinRAR antérieures à la version 6.23 et permet de créer des archives .RAR et .ZIP qui peuvent exécuter en arrière-plan du code préparé par l'attaquant à des fins malveillantes. La vulnérabilité zero day a été exploitée depuis le mois d'avril par des acteurs de la menace des forums de cryptomonnaie et de trading boursier. »

Le tristement célèbre groupe APT29 (ou "The Dukes" comme nous les appelons) a une grande expérience de l'espionnage. Nous les observons depuis 2017 et même avant. Ils sont très créatifs, en particulier pour leurs compromissions. Nous avons auparavant observé le détournement de médias sociaux et de commentaires comme serveurs C&C, ou comme dans le cas présent, l’utilisation des serveurs Ngrok, pour brouiller les pistes.

Pour limiter l’exploitation des vulnérabilités de programmes de gestion d’archives tels que WinRAR, il est essentiel de maintenir ses logiciels à jour, apportant les derniers correctifs. Dans ce cas précis, et pour les logiciels n’ayant pas de correctifs valables, il doit être envisagé de rechercher des alternatives.

Bien entendu, une solution de sécurité reconnue et efficace, filtrant les spams, courriers indésirables et logiciels dangereux est également indispensable.