지금 패치하세요, APT의 지속적인 WinRAR 버그 공격

러시아와 중국의 국가 지원 위협 행위자들은 패치가 적용되지 않은 시스템의 원격 코드 실행(RCE) WinRAR 취약점을 악용하여 표적에 멀웨어를 전달하고 있습니다.

Google 위협 분석 그룹(TAG)의 연구원들은 최근 몇 주 동안 특히 우크라이나와 파푸아뉴기니의 조직에 인포스틸러와 백도어 멀웨어를 전달하기 위해 CVE-2023-38831을 악용하는 공격을 추적해 왔습니다.

이 결함은 이미 알려져 있고 패치가 완료된 RarLab의 인기 있는 Windows용 WinRAR 파일 아카이버 도구의 취약점이지만 업데이트하지 않은 시스템은 여전히 취약한 상태입니다.

"TAG는 여러 국가의 정부 지원을 받는 공격자들이 작전의 일환으로 WinRAR 취약점을 악용하는 것을 관찰했습니다."라고 Google TAG의 케이트 모건은 블로그 게시물에 썼습니다.

Google TAG에 따르면 러시아가 지원하는 지능형 지속 위협(APT) 그룹이 WinRAR에 대한 최신 공격의 주요 가해자입니다. 9월 6일, 샌드웜은 우크라이나 드론 전쟁 훈련 학교를 사칭한 이메일 캠페인을 시작했으며, 학교 가입 초대를 미끼로 삼았습니다.

 

러시아의 지원을 받는 또 다른 악명 높은 그룹인 APT28(일명 프로즌레이크, 팬시 베어, 스트론튬, 세드닛)도 이 결함을 이용해 우크라이나의 공공 정책 싱크탱크인 라줌코프 센터가 주최하는 행사에 표적들을 초대하는 미끼 문서를 사용한 피싱 캠페인을 통해 우크라이나의 에너지 인프라를 노린 멀웨어를 전송했습니다.

한편, 중국의 지원을 받는 아일랜드드림즈(IslandDreams) 그룹(APT40)의 피싱 캠페인은 파푸아뉴기니의 사용자들에게 인포스틸러를 전달했습니다.

RarLab은 7월 20일에 이 문제에 대한 베타 패치를 발표하고 8월 2일에 WinRAR 업데이트 버전(버전 6.23)을 발표했지만, 많은 시스템이 여전히 취약하여 악용될 가능성이 높다고 모건은 지적했습니다.

"취약점이 패치된 후에도 악의적인 공격자들은 계속해서 느린 패치 속도를 악용할 것입니다."라고 합니다.

WinRAR 취약점 익스플로잇
Group-IB는 7월에 WinRAR의 논리적 취약점인 CVE-2023-38831을 발견했습니다.

그러나 APT 그룹은 이미 4월부터 이 결함을 제로데이 버그로 악용해 왔으며, 러시아가 지원하는 위협 그룹인 Evilnum이 무기화된 ZIP 파일을 사용하여 암호화폐 거래자를 공격한 사례도 있었습니다.

구글 태그에 따르면 이 결함을 악용할 수 있는 가능성은 아카이브 처리 중 임시 파일 확장이 공백이 포함된 확장자를 가진 파일을 열려고 할 때 윈도우 셸실행의 구현상의 결함과 결합될 때 발생합니다.
이 취약점을 통해 공격자는 사용자가 벤치마크 파일을 보려고 할 때 임의의 코드를 실행할 수 있습니다.

 

최근 대두되고있는 수 많은 공급망 공격은 이제 간과하고 넘어갈 수 있는 수준이 아닙니다.

특히 직접적으로 유입되는 실 사용에 사용하는 소프트웨어의 취약점을 통해 공격해오는 기법은 이미 수많은 크고 작은 사건들로 우리에게 다가왔습니다.

 

엑스스캔은 반입되는 모든 소프트웨어의 위협 취약점 분석 뿐만 아니라 패치버전에 따른 비교 분석을 사용하여 안전한 공급망 보안 생태계를 유지하기 위하여 노력하고있습니다.