Google의 보안연구팀은 "러시아와 중국 정부의 지원을 받은 해커가 Windows용 파일압축&해제 소프트웨어 'WinRAR'의 취약성을 악용하여 공격을 하고 있다는 증거를 발견했다"고 보고했습니다.
Google links WinRAR exploitation to Russian, Chinese state hackers
https://www.bleepingcomputer.com/news/security/google-links-winrar-exploitation-to-russian-chinese-state-hackers/
Google links WinRAR exploitation to Russian, Chinese state hackers
Google says that several state-backed hacking groups have joined ongoing attacks exploiting a high-severity vulnerability in WinRAR, a compression software used by over 500 million users, aiming to gain arbitrary code execution on targets' systems.
www.bleepingcomputer.com
Russia and China-backed hackers are exploiting WinRAR zero-day bug | TechCrunch
https://techcrunch.com/2023/10/18/russia-sandworm-fancy-bear-china-winrar-zero-day/
Russia and China-backed hackers are exploiting WinRAR zero-day bug | TechCrunch
Google security researchers say hackers, including the notorious Russian hacking unit Sandworm, are exploiting the WinRAR zero-day bug.
techcrunch.com
WinRAR은 1995년에 릴리스된 Windows용의 쉐어웨어로 RAR 형식이나 ZIP 형식의 압축&해제 외 LZH 형식이나 7-Zip 형식 등도 취급 가능한 아카이버입니다.
Google의 위협분석그룹(TAG)에 의하면 공격자는 'CVE-2023-38831'이라는 WinRAR의 제로데이 취약성을 악용해 공격을 실시하고 있다고 합니다. CVE-2023-38831을 처음 발견한 사이버보안 회사인 Group-IB는 CVE-2023-38831에 대해 “이 제로데이 취약점은 무해한 이미지와 텍스트 문서가 있는 아카이브 파일에 악성 스크립트를 숨길 수 있다”고 보고했습니다. WinRAR의 벤더인 Rarlab은 CVE-2023-38831에 대해 2023년 8월 2일에 패치를 적용하여 수정했습니다. 그러나 TAG는 “WinRAR 업데이트를 하지 않은 많은 사용자가 위험에 처해 있다”며 “러시아와 중국 정부의 지원을 받는 여러 해킹그룹이 CVE-2023-38831을 악용하여 해킹을 하고 있다”고 경고했습니다.
TAG의 보고에 따르면 WinRAR의 취약성을 악용해 해킹행위를 하는 그룹 중에는 2017년에 우크라이나의 중앙은행이나 국영통신, 전력인프라 등에 큰 피해를 준 랜섬웨어 'NotPetya'를 이용하여 공격을 하는 'Sandworm'이라는 러시아의 군사 스파이 부대가 포함되어 있습니다.
TAG는 “우크라이나의 드론전투 훈련학교로 위장한 이메일 캠페인의 일환으로 2023년 9월 초부터 Sandworm이 WinRAR의 제로데이 취약성을 악용하고 있는 것으로 확인되었습니다. Sandworm의 수법으로서는 CVE-2023-38831을 악용하는 아카이브 파일에의 링크가 전자메일 내에 포함되어 있어서 그 링크를 열어버리면 피해자의 PC에 정보를 훔치기 위한 멀웨어가 인스톨되어 브라우저에서 사용하는 비밀번호 등이 유출된다고 합니다.
해커집단의 수법을 살펴보면 사용자가 문제가 있는 zip 파일을 WinRAR로 압축을 풀고 그 안에 포함된 이미지 파일을 엽니다. 그러면 이미지 파일이 열리는 대신 맬웨어를 설치하는 스크립트가 시작되어 컴퓨터에 대한 무단 액세스를 방지하기 위한 SFX 파일시스템이 파괴됩니다.
또한 러시아 정부가 지원하는 해커집단 'APT28(팬시 베어)'가 우크라이나의 공공정책 싱크탱크로 위장한 전자메일 캠페인을 실시해 우크라이나의 인터넷 유저에 대해 공격을 하고 있고, 중국 정부가 지원하는 'APT40'도 비슷한 수법으로 파푸아뉴기니에 거점을 두는 사용자를 표적으로 한 피싱캠페인을 실시하고 있었다고 TAG는 보고했습니다. 이러한 해커집단이 실시한 캠페인에서는 피해자에게 CVE-2023-38831을 악용하는 아카이브 파일을 포함한 Dropbox에 대한 링크가 첨부되어 있었다는 것.
TAG는 수정패치가 배포되었음에도 불구하고 WinRAR의 제로데이 취약점이 계속 악용되고 있는 점에 대해 "알려진 취약점을 악용한 공격이 매우 효과적이므로 사용자는 즉시 WinRAR에 최신 패치를 적용하여 소프트웨어의 안전을 보장할 것"을 권고했습니다.
'IT' 카테고리의 다른 글
| YouTube가 'Adblock Plus'를 차단하기 시작 (0) | 2023.10.25 |
|---|---|
| 음성만으로 몇 초 안에 2형 당뇨병인지를 간파하는 AI가 등장 (0) | 2023.10.23 |
| YouTube 광고 차단 팝업은 사용자 에이전트를 Windows Phone으로 전환하면 피할 수 있다 (0) | 2023.10.23 |
| 중국이 AI로 지적재산을 훔치고 있다고 '파이브 아이즈'가 이례적 경고 (0) | 2023.10.20 |
| 다양한 USB-C 커넥터를 스캔하여 차이를 검증 (0) | 2023.10.19 |
| 스마트폰에서 직접 Starlink 회선을 이용할 수 있는 서비스 'Direct to Cell' 페이지가 공식사이트에 출현 (0) | 2023.10.12 |
| 유럽 최초의 엑사스케일 슈퍼컴퓨터 'Jupiter'는 x86이 아닌 Arm 코어로 동작 (0) | 2023.10.10 |
| 기내 Wi-Fi의 포털사이트에서 얻은 정보를 시각화 (0) | 2023.10.06 |
