В Google связали эксплойт WinRAR с хакерами из России и Китая

Критическую уязвимость WinRAR используют спонсируемые государствами хакеры из России и Китая. За атаками, в частности, стояли группировки Sandworm, APT28 и APT40. К такому выводу пришли исследователи из Threat Analysis Group. В Google отметили, что патч для уязвимости CVE-2023-38831 уже выпущен, однако многие пользователи WinRAR по-прежнему остаются уязвимы. 

Аналитики компании также поделились подробностями использования уязвимости различными группировками. По их данным, в сентябре хакеры из российской группировки Sandworm распространяли с ее помощью инфостилер Rhadamanthys. Их коллеги из ATP28 использовали CVE-2023-38831 для атаки на пользователей бесплатных хостингов. Китайская APT40 атаковала с помощью уязвимости цели в Папуа-Новой Гвинее.

CVE-2023-38831 активно использовалась как минимум с апреля текущего года. С помощью удаленного выполнения кода злоумышленники распаковывали на скомпрометированных устройствах архивы RAR и ZIP с вредоносным содержимым.