Пентест для самых маленьких на примере WinRAR
Атаки с использованием уже давно пропатченной уязвимости WinRAR остаются актуальными для многих компаний. Разберемся как устроена типовая атака, как злоумышленники обходят антивирусы, что делать для защиты. И, конечно, попробуем самостоятельно провести типовую атаку.
Волк в овечьей шкуре — как атакующие эксплуатируют CVE-2023-38831 в WinRAR
Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Моя статья будет посвящена разбору уязвимости CVE-2023-38831 в архиваторе WinRAR . Эта уязвимость активно используется хакерами в атаках на отечественные компании. В отчете компании BI.ZONE фиксируется информация, что злоумышленники из групп Cobalt Werewolf, Mysterious Werewolf использовали данную уязвимость для доставки вредоносной полезной нагрузки. В этом случае уязвимость эксплуатировала вредоносный архив при доставке фишингового письма. Схожую информацию предоставляют исследователи из Positive Technologies , связав активность группировки ExCobalt с эксплуатацией CVE-2023-38831. Также фиксировались случаи эксплуатации данной уязвимости ВПО Agent Tesla и DarkMe . Стоит отметить, что по данным компании Kaspersky в 2024 году данная уязвимость занимает третье место по частоте эксплуатации атакующими в России и странах СНГ. В своей статье я опишу, в чем заключается суть уязвимости, продемонстрирую её эксплуатацию, а также генерируемые события по активности. Затем я подробно опишу процесс детектирования уязвимости и определю основные артефакты с помощью R-Vision SIEM. Смотреть
https://habr.com/ru/companies/rvision/articles/837632/
#winrar #cve202338831 #уязвимости #siem #correlation_rule #winapi #windbg
WinRAR CVE-2023-38831
10 июля 2023 года при исследовании распространения троянского ПО под названием DarkMe, специалистами из Group-IB была обнаружена раннее неизвестная уязвимость в WinRAR, которая касалась обработки zip-архивов. Данная уязвимость получила идентификатор CVE-2023-38831 . С помощью этой уязвимости, по данным специалистов Group-IB, злоумышленники производили атаку на пользователей трейдерских форумов с апреля 2023 года. После заражения устройств пользователей, злоумышленники выводили деньги с брокерских счетов жертв. В этой статье мы разберемся, в чем кроется уязвимость и как её можно проэксплуатировать.
https://habr.com/ru/articles/797127/
#WinRAR #Уязвимости #CVE202338831 #эксплоиты #пентест #Безопасность
"🚨 #BreakingNews: WinRAR Vulnerability Exploited by Russian APT! 🇷🇺🔓"
In October 2023, a cyber threat linked to a Russian nation-state actor exploited a vulnerability in WinRAR (CVE-2023-38831) for credential harvesting. The attack used a malicious archive file (IOC_09_11.rar) disguised as an IoC sharing file. Beware of phishing lures! 🎣📧
The BAT script initiated a series of PowerShell commands. Firstly, it wrote a Private RSA Key, enabling the attacker to establish a reverse shell for access to the victim's machine. Subsequently, a PowerShell script was executed to exfiltrate data, including login credentials, from Google Chrome and Microsoft Edge browsers. The stolen data was sent to a designated URL via the legitimate Webhook.site service.
This sophisticated attack was potentially associated with the Russian state-sponsored group APT28 (aka Fancy Bear, Sednit), according to Cluster25. The attack tactics and techniques align with various stages of the MITRE ATT&CK matrix, including spearphishing attachment, malicious file execution, and data exfiltration over a web service.
Indicators of compromise (IoCs) include payload hash values (SHA256, SHA1, MD5) and the IP address (216.66.35.145) and URL (http://webhook.site/e2831741-d8c8-4971-9464-e52d34f9d611) associated with the attacker's infrastructure. This incident underscores the importance of timely software patching and user awareness to prevent such cyber threats.
Source: Cluster25 Blog
Tags: #CVE202338831 #WinRAR #Phishing #CyberSecurity #APT #RussianAPT
Habr
🛡 