WinRAR exploité pour attaquer les ambassades

« Après Sandworm et APT28 (connu sous le nom de Fancy Bear), un autre groupe de pirates alignés avec les intérêts Russes, APT29, exploite la vulnérabilité CVE-2023-38831 du logiciel WinRAR pour mener des cyberattaques… » écrit Bleeping Computer.

Benoit Grunemwald
Par Benoît Grunemwald Publié le 25 novembre 2023 à 9h00
winrar, attaque, piratage, ambassade
winrar, attaque, piratage, ambassade - © Economie Matin
82%82% des piratages de données sont dus au facteur humain

Traduit de l’article original. « APT29 est désigné par de multiples noms (UNC3524,/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm) et a ciblé des 'ambassades avec un leurre de vente d’une voiture BMW. L'archive malveillante est appelée "DIPLOMATIC-CAR-FOR-SALE-BMW.pdf" et a ciblé plusieurs pays du continent européen, notamment l'Azerbaïdjan, la Grèce, la Roumanie et l'Italie.

La faille de sécurité CVE-2023-38831 affecte les versions de WinRAR antérieures à la version 6.23 et permet de créer des archives .RAR et .ZIP qui peuvent exécuter en arrière-plan du code préparé par l'attaquant à des fins malveillantes. La vulnérabilité zero day a été exploitée depuis le mois d'avril par des acteurs de la menace des forums de cryptomonnaie et de trading boursier. »

Le tristement célèbre groupe APT29 (ou "The Dukes" comme nous les appelons) a une grande expérience de l'espionnage. Nous les observons depuis 2017 et même avant. Ils sont très créatifs, en particulier pour leurs compromissions. Nous avons auparavant observé le détournement de médias sociaux et de commentaires comme serveurs C&C, ou comme dans le cas présent, l’utilisation des serveurs Ngrok, pour brouiller les pistes.

Pour limiter l’exploitation des vulnérabilités de programmes de gestion d’archives tels que WinRAR, il est essentiel de maintenir ses logiciels à jour, apportant les derniers correctifs. Dans ce cas précis, et pour les logiciels n’ayant pas de correctifs valables, il doit être envisagé de rechercher des alternatives.

Bien entendu, une solution de sécurité reconnue et efficace, filtrant les spams, courriers indésirables et logiciels dangereux est également indispensable.

Laissez un commentaire
Benoit Grunemwald

Expert en Cyber sécurité pour ESET France

Aucun commentaire à «WinRAR exploité pour attaquer les ambassades»

Laisser un commentaire

* Champs requis