WinRAR’da Gizlenen Tehlike: APT’lerin Kullandığı CVE-2023-38831 Zafiyeti ve Küresel Saldırıların Şok Edici Detayları!

Nisan 2023’te WinRAR’ın 6.23 sürümünden önceki sürümlerini etkileyen CVE-2023-38831 adlı bir güvenlik açığı keşfedilmesiyle güvenlik ekiplerinde alarm verildi. Bu güvenlik açığı çeşitli APT grupları tarafından kullanılarak sistemlere sızılmalarını sağladı.

APT grupları tarafından kullanılan yöntemler incelendiğinde dikkat çekici derecede yaratıcı ve sofistike olduğu görülmekte. Zafiyet, PDF ve JPEG gibi dosyaların içerisine zararlı kodlar yerleştirerek sonrasında bu dosyaları sıkıştırıp kurbana göndermek suretiyle kullanıldı. Bu yöntem kurbanın zararsız bir dosya aldığına inanmasını sağladı.

CVE-2023-38831 kullanılarak yapılan saldırılar dünyada bir bölge ile sınırlı kalmadı. Bunun yerine, DarkMe, UAC-0057, APT40, Konni ve SandWorm gibi APT grupları tarafından kullınarak farklı sektörleri (ticaret, hükümet, enerji ve kripto endüstrisi gibi) ve birçok ülkeyi hedef aldı.

Bu blog yazısında, her APT grubunun bu zafiyeti sömürmek için kullandığı benzersiz taktikleri daha ayrıntılı bir şekilde inceleyeceğiz. Bu taktikler, zararlı ZIP dosyalarını içeren phishing e-postalarından, belirli sektörleri ve ülkeleri hedefleyen farklı malware çeşitlerini dağıtmaya kadar uzanmakta.

CVE-2023-38831’e karşı koruma stratejisi olarak WinRAR’ın en son sürümüne güncellenmesi kritik öneme sahip.

Zaman Çizelgesi

Araştırmacılar Nisan 2023’ten beri RARLAB WinRAR uygulamasının 6.23 öncesi sürümünde zero-day zafiyeti içerdiğini keşfettiler. Aşağıda adı geçen çeşitli APT grupları bu zafiyeti kullanarak saldırlar düzenledi.

DarkMe – Evilnum APT tarafından kullanılan DarkMe malware, Temmuz 2023’te ticaret sektöründeki hedef sistemlere saldırı başlatmak için bu zafiyeti kullanmaya başladı.

Ağustos 2023’te UAC-0057 grubu, öncelikle Ukrayna bölgesini hedef alan bu zafiyeti kullanarak saldırı başlattı ve Cobalt Strike C2 sunucusu üzerinden PicassoLoader malware’ı dağıttı.

Aynı aylarda, Çinli tehdit aktörü APT40, Papua Yeni Gine’yi hedef alarak bir phishing e-posta saldırısı başlattı. Bu saldırı Dropbox bağlantılı Zip arşiv dosyası kullanılarak WinRAR zafiyeti tetikleniyor ve ikinci aşamada payload dağıtıyordu.

Rusya merkezli SandWorm ve APT28 grubu, Ukrayna bölgesini hedef aldı. Sandworm APT, Rhadamanthys stealer malware’ı dağıtmak için zararlı ZIP arşivi kullanırken, APT28 grubu Ukrayna bölgesindeki kurbanları hedeflemek için bir ücretsiz hosting sağlayıcısını kullanarak WinRAR zafiyetini kullandı.

Kuzey Kore merkezli Konni APT grubu ise özellikle KriptoPara endüstrisini hedeflemek için CVE-2023-38831 zafiyetini kullandı.

Şu anda da devam eden saldırılar var ve Ekim ayında DarkPink APT, bu zafiyeti kullanarak Vietnam ve Malezya’daki hükümet sektörünü hedef almış durumda.

WinRAR Zafiyetini İstismar Eden APT Grupları

DarkPink

En son raporlara göre DarkPink APT’nin aynı zamanda Saawic olarak bilinen WinRAR’ın zero day zafiyetini Vietnam ve Malezya’daki devlet sektörlerini hedeflemek için kullanmaya başladığını gösteriyor.

DarkPink, zararlı winrar dosyaları hazırlayarak sistemlere sızmaya çalışıyor. DarkPink APT tarafından kullanılan rar dosyaları inandırıcılığı arttırmak için gerçek fotokopi devlet belgeleleri içeriyor.

DarkPink tarafından oluşturulan CVE-2023-38831 zafiyeti pdfl tuzak dosyaları ve aynı adı taşıyan bir klasör içeren bir dosyayla birlikte geliyor. Klasörün içerisinde pdf ile aynı adı taşıyan bir exe programı ve ‘twinapi.dll’ adlı bir kütüphane dosyanı da içeriyor.

Kullanıcı, WinRAR programının daha önceki bir sürümün ile PDF tdosyasını açmaya çalıştığında, CVE-2023-38831 zafiyet bir siber saldırıyı tetikliyor ve klasördeki EXE programının çalışmasına neden oluyor. Daha sonra aynı dizindeki ‘twinapi.dll’ dosyasını yüklüyor saldırı yüzeyini arttırıyor.

Konni

Kuzey Kore merkezli apt grubu kripto endüstrisini hedeflemek amacıyla WinRAR (CVE-2023-38831) zafiyetini kullanıyor.

Saldırıda örnek dosya, “wallet_Screenshot_2023_09_06_Qbao_Network.zip” gibi görülmekte ve bu dosya Qbao Network kripto cüzdanlarına benziyor.

Kurban arşiv dosyasını çıkarıyor ve EXE dosyası olan html dosyasına tıkladığında bu dosya GetSystemWow64DirectoryW fonksiyonunu kullanarak mevcut sistemin 64-bit olup olmadığını kontrol ediyor. Sistem kontrolü yapıldıktan sonra C2 sunucusuyla iletişim kurarak playload’ları indirmeye başlıyor. Ardından sistem bilgilerini toplamaya başlıyor ve bu bilgiler saldırgan tarafından kontrol edilen sunucuya geri gönderiyor.

SideCopy

Pakistan merkezli Sidecopy adlı APT, diğer bildirilen saldırganlar gibi WinRAR zafiyeti kullanımında benzer teknikleri kullanıyor ancak burada özellikle AIANGOs (All India Association of Non Gazetted Officers) olarak taklit edilen Hindistan savunma sektörünü hedeflemiş durumda.

Paketlenmiş zip dosyası herhangi bir zararlı içermeyen PDF dosyası ve EXE dosyası içeriyor, her ikisi de “Achievements_of_DMF” adını taşımakta.

EXE dosyası çalıştığında, vmi1433024[.]contaboserver[.]net adlı komut ve kontrol sunucusuna bağlanmaya çalışıyor. Daha fazla analiz yapıldığında, bu zararlının Uzak Erişim Truva atı [RAT] yüklemelerinden sorumlu olduğu keşfedildi.

APT29

APT29 veya diğer adlarıyla CozyBear, Nobelium, The Dukes, WinRAR zafiyetini kullanarak Avrupa’daki ülkeleri hedefliyor. Zararlı zip arşiv dosyası, PDF ve aynı adı taşıyan DIPLOMATIC-CAR-FOR-SALE-BMW adlı bir BAT dosyasını içeriyor.

BAT dosyasını çalıştırdıktan sonra, hXXps://d287-206-123-149-139[.]ngrok-free[.]app/b125[.]ps1 ve hXXp://d287-206-123-149-139[.]ngrok-free[.]app:443 URL’leri üzerinden PowerShell dosyasını indirmeye çalışıyor.

Yapılan incelemede her iki URL’nin de şu an için geçersiz olduğu tespit edildi. Ancak saldırganların faaliyetleri için Ngrok platformunu kullandıklarının keşfedilmesini sağladı.

UAC-0057

Ağustos ayının sonunda CVE-2023-38831 zafiyetini kullanmaya başladı. Zafiyetin sömürülmesi BAT dosyasının yürütülmesine ile başlıyor. Dosyaya tıklandığında Mshta.exe programını kullanarak HTA dosyasının çalışmasına yol açan bir LNK dosyası başlatıyor

Ardından, Cobalt Strike bacon tarafından hedef sisteme özgü olarak oluşturulan bir resim dosyasını indirmek için JavaScript kodunu yürüten bir HTA dosyasının çalıştırılmasına neden oluyır. Bu süreç sonunda son olarak PicassoLoader yazılımının bilgisayara dağıtılmasına yok açıyor.

APT28

Rus APT28 grubu saldırıda CVE-2023-38831 zafiyetini kullanmış. Bu saldırı, WinRA’ın 6.23 sürümünden önceki sürümlerini etkliyor.

Saldırı bir HTML sayfası aracılığıyla gerçekleştiriliyor ve hedef Ukrayna Enerji sektörü olmuş durumda. Saldırgan kurbanı WinRAR zafiyetini kullanarak zararlı içeren bir belge dosyasını indirmeye zorluyor.

Başka bir saldırı senaryosunda WinRAR CVE-2023-38831 zafiyetini kullanarak bir BAT dosyası dağıtılıyor. Bu BAT dosyası çalıştırıldığında zararlı PDF dosyası açılıyor ve reverse SSH shell oluşturarak saldırgan tarafından kontrol edilen bir IP adresine bağlanıyor.

Sonuç olarak, PowerShell kullanarak IRONJAW script dosyasını çalıştırmış oluyor. En sonunda tarayıcı verilerini çalarak toplanan detayları C2 sunucusuna taşıyor.

SandWorm

Rus Silahlı Kuvvetleri Genelkurmay Başkanlığı’na bağlı GRU Unit 74455 tarafından desteklendiği düşünülen SandWorm grubu, Ukrayna’da drone savaş eğitim okulunu taklit eden bir e-posta saldırısı ile zafiyeti sömürmekte.

Saldırganlar, kurbanı akademilerine katılmaya davet eden bir davet temalı e-posta ile kandırıyor. E-postalar zararlı ZIP dosyasını içeren bir bağlantı içeriyor.

ZIP dosyası, CVE-2023-38831 zafiyetini içeren bir saldırıyı başlatmak üzere hazırlanmış. Bu saldırı sonucunda BAT dosyası “Rhadamanthys” adlı, son zamanlarda aktif bir şekilde bilgi çalan payload’u dağıtıyor

APT40

Çin hükümeti tarafından desteklenen APT40, 2023’ün sonlarında Papua Yeni Gine’yi hedefleyen phishing saldırısı düzenledi.

E-posta içinde CVE-2023-38831 zafiyetini içeren bir ZIP arşivi bulunan bir Dropbox bağlantısı içeriyor. Bu sıkıştırılmış dosya içerisinde şifre korumalı sahte PDF ve LNK dosyası yer alıyordu. Daha sonra XOR ile şifrelenmiş DLL playload olan ISLANDSTAGER adlı bir DLL payload bulundu.

ISLANDSTAGER çalıştırıldıktan sonra kayıt defteri anahtarını değiştirip kendini sistemde kalıcı hale getiriyor. Ardından Dropbox API’yi C2 sunucu olarak kullanarak BOXRAT backdoor’u yükleyip çalışıtıyor.

WinRAR’daki zafiyet kullanılarak dağıtılan zararılar!

CVE-2023-38831 ayı zamanda, Guloader, Remcos, Agent Tesla, Picassoloader, Rhadamanthys ve IRONJAW gibi birçok zararlının dağıtılması için kullanıldı.

DarkMe

DarkMe, Evilnum APT tarafından kullanılan bir zararlı yazılım. DarkMe’nin başlangıç saldırı taktiklerinin başında Zip arşiv dosyaları geliyor. Araştırmacılar, bu arşiv dosyalarını incelemeye yönlendiren ve Finans sektörünü sıkça hedefleyen Evilnum APT tarafından kullanıldığını belirledi.

Oluşturulan ZIP arşivleri, etkilenen sistemlere ulaştığında arşivlerin içindeki zararlı yazılım playload’ları çalıştırıldı.

Saldırganlar bu zafiyeti kullanarak dosya uzantılarını taklit etti. Böylece arşiv içindeki zararlı kod gizlemiş oldu.

DarkMe’nin başlatma süreci karmaşık ve birden çok modülü içeriyor. Örneğin, zararlı script, SFX CAB dosyası olarak bilinen Cabinet Self-extractor dosyasını başlatıyor.

Guloader

Bu örnekte, araştırmacılar SFX arşivleri yerine NSIS kurulum programlarını kullanan ZIP varyantlarını buldular. Bu saldırı faaliyetinde NSIS paketi, paketin içinde bulunan ‘Piskens.For187’ adlı dosya içine gömülü PowerShell script’i çalıştırarak başlatıyor. Süreç ayrıca başka bir aşamayı şifrelemeyi ve çalıştırmayı içeririyor.

Araştırmalar GuLoader’u zararlı bir URL’yi kullanarak bir HTTP isteği yaparak bir sonraki aşamaya geçmeye çalıştığını gösteriyor.

Remcos

Remcos, bilgisayarları ele geçirme, üzerlerinde kontrol sağlama ve hassas verileri dışa aktarma yeteneğine sahip Truva atı türü.

9 Ekim’de saldırganlar tarafından CVE-2023-38831’i kullanarak NATO-zip arşiv dosyası adıyla Ukrayna hükümet’ini hedeflemek için kullanıldığı ortaya çıktı.

Agent Tesla

Saldırganlar, CVE-2023-38831’i kullanarak Agent Tesla zararlısını yaymada kullandılar. Aynı isimli klasörde CMD dosyası PDF dosyası içine gizlenmiş duurmda. Bu dosyaya tıklanıldığında, Agent Tesla zararlısı başlatılıyor.

Picassoloader

UAC-0057 olarak adlandırılan Rus devlet destekli saldırganlar, CVE-2023-38831 zafiyetini kullanarak kurbanları doldandırıyor. Zip arşivi, JPG resimleri ve .cmd uzantılı BAT dosyasını içeriyor.

Cmd dosyası çalıştırıldığında, birden çok VBS ve Bat. dosyası oluşturuyor ve ardından Ukrayna’nın kritik enerji sektörünü hedef alan saldırılar için kullanılıyor.

Rhadamanthys

Rhadamanthys, tarayıcı kimlik bilgilerini ve oturum bilgilerini toplama ve dışa aktarma yeteneğine sahip zararlı bir yazılım. Rhadamanthys, Keepass ve kripto para cüzdanları gibi çeşitli uygulamaların kimlik bilgilerini çıkarma yeteneğine sahip.

IRONJAW

APT28 grubu WinRAR zafiyeti CVE-2023-38831’i kullanarak BAT dosyası dağıtıyor. Bu BAT dosyası çalıştırıldığında sahte bir PDF dosyasını açıyor ve reverse SSH shell oluşturarak saldırgan tarafından kontrol edilen bir IP adresine bağlanıyor. Sonunda ise PowerShell kullanarak IRONJAW script dosyasını çalıştırıyor.

Taktikleri, teknikleri ve prosedürleri

Analize göre, saldırganlar sürekli olarak geliştirmek için taktiklerini değiştirmiş ve hedef sistemlere başarılı bir şekilde ulaşmak için WinRAR zafiyetini kullanmışlar.

İlk olarak, DarkPink çetesi RAR arşiv dosyasının içine eklenmiş CVE-2023-38831 zafiyetini içeren bir dosyayla birlikte Phishing mail ile başlatılan bir saldırı gerçekleştirdiler. Süreklilik metodolojisi için ise, EXE dosyasını DLL yükleme enjeksiyon mekanizmasıyla bırakarak UAC bypass gerçekleştiriyor. Daha sonra toplanan sistem bilgilerini iletmek için kontrol sunucusuna bağlanıyor.

Konni APT grubu aynı saldırı modelini kullanarak EXE dosyası yerine BAT dosyasını kullanmışlar. UAC-OO57, SideCopy, APT28 gibi diğer saldırganlar, CMD komut ve komut istemi dosyasını kullanarak WinRAR zafiyetini sömürerek LNK dosyasını bırakıyor ve MSHTA aracılığıyla zararlı HTML dosyasına erişiyor. Bu HTMLzararlı JavaScript kodu içeriyor ve sonuda payload’un dağıtılmasını sağlıyor.

Son saldırıs ise APT29 gibi birden fazla Rus saldırı grupları tarafından yapılıyor.

Saldırıların yapıldığı ülkeler

Kuzey Kore, Rusya, Pakistan ve Çin gibi ülkelerdeki APT grubları bu güvenlik açığından yararlanarak ülkeleri veya endüstrileri hedef alıyor.

Ülke adıİlişkili APT Grupları
Kuzey KoreKonni 
RusyaKum kurduDaire 29Daire 28 
PakistanYan Kopya 
ÇinAPT40 

Indicators of compromise

Hash

5716244ce0f3bbae24b79db810e80cd5001b320e6608a838284b22889143ca66SideCopy
5893b58d6a6a772f8ecd491a4dace11007fd1aac90e5f4a0363288d1376e1ce5
eec902a61886198a8e48ac862fabeecd628f2fa4122b78a0d7d6ee5c256ae724APT29
f78ee3005ca9f0e78a9dd136fc69afe7c06d69d1fc6218bc9e7eb3adec045977
5d6bfb8fd1102273ef489060219293f8da796d07e8b2872efbda55050512b71f
378f6ec865c7ed29742d0b8f156e7171cde8b7fc25c2ccfca21abc77cca5aa83DarkPink
a9da81172425d580b53b72b559f7ec8f496ded783b40e012c77f6cb669405068
3cf0408ce29f916beb1fc5767a028c0f8c7dd4c0311002e0827f7557c0c25ab4
40d1ebcca7ed35da9776383abca3e7ec6b70aec53c739aef773cdb90726f46c0
42b4be54955f9e17b7135ef34bb924874045ed4fde51bbe7fa33e67acd3a699a
173ec2775bfb01977985303863af2a7218e5ead7cf2592e971b99bdd91a850e9
35f42a0fb17fa9e7d32e47df859a2b8239f236b1b2baf51f5b33963e728ea5d4BumbleBee
60f4f1cd1eed873c414fb56441a3d76efbb469ee1312b3b73c0534eec1e082d3
79a4fa2ac4971f669cbcbe4f1573bbc893f05490a9a0d0d9d6b6c1c91bb3a1c4Remcos RAT
6ca54ba5f6665ddf1653cc3564647918eaa5290045dfca20b30235d73d0ebd99
3e92abb85fe234dd55668fc71346164ef3a65051ddeff8b4d871837300b03878AgentTesla
15a4c64ec2cdc0f9b77763c7ad7b0181e5852ed5e74d1090e6112a9f05d34e8a
c5b392748985dc71aea2ea1a54e59ae68d90c43c0de44dfdf7f6b55c65d99540Exploit samples
74bc4c892f5590610c31057c4f60d6f7e1d7fafff4565d5726d82ef262888632

Domain

vmi1433024[.]contaboserver[.]netSideCopy
d287-206-123-149-139[.]ngrok-free[.]appAPT29
g7qf7ew5c[.]lifeBumbleBee

IP

45[.]142[.]212[.]34C2 Indicators
38[.]242[.]149[.]89

MITRE techniques used on WinRAR exploitation

On overall analysis of the threat actors used the below MITRE Framework Techniques to exploit the severe WinRAR vulnerability to perform an attack.

TacticsTechniques
Initial AccessT1566 – Phishing
Execution T1203 – Exploitation for Client Execution
Execution T1059 – Command and Scripting Interpreter
PersistenceT1574 – DLL Side-Loading
PersistenceT1205 – Traffic Signaling 
Privilege EscalationT1548.002 : Bypass User Account Control
Defense EvasionT1112 – Modify Registry
Credential AccessT1555.003 – Credentials from Web Browsers
DiscoveryT1082 – System Information Discovery
Lateral MovementT1563 – Remote Service Session Hijacking
CollectionT1560 – Archive Collected Data
Command and ControlT1071 – Application Layer Protocol
Command and ControlT1105 – Ingress Tool Transfer

LOLBINS used

LOLbins UtilityTechniques
Mshta.exeT1218.005 – Mshta
Cmd.exeT1059 – Command and Scripting Interpreter
PowerShell.exeT1059.001 – PowerShell
WScript.exeT1059.005 – Visual Basic
RunDLL32.exeT1574.002 : DLL Side-Loading

YARA rule

rule Uptycs_CVE_2023_38831_PK_FILES
{
    meta:
        malware_name = “CVE-2023-38831”
        description = “CVE-2023-38831 is a vulnerability that enables malicious actors to execute arbitrary code when a user tries to access a harmless file contained within a ZIP archive.”
        author = “Uptycs Inc”
        version = “1”
        
    strings:
        $magic_header = “PK” ascii
        $string_pattern = /(.{1,256}\.[A-Za-z1]{2,4})\s\/(.{1,256}\.[A-Za-z1]{2,4})\s\.[A-Za-z0-9]{2,4}/

    condition:
        $magic_header at 0 and $string_pattern
    
}

Kaynak: uptycs.com

Exit mobile version