Computer-Software

Google warnt: WinRAR-Sicherheitslücke von staatlichen Hackern ausgenutzt

Posted on by Wilhelm von Hohenberg
WinRAR Logo mit Warnzeichen symbolisiert Sicherheitslücke und staatliche Hackeraktivitäten, entdeckt von Google

Die Cybersicherheitslandschaft ist ständig in Bewegung, und selbst etablierte Software wie WinRAR bleibt nicht vor Bedrohungen gefeit. Aktuelle Berichte der Google Threat Analysis Group (TAG) enthüllen, dass eine kritische Sicherheitslücke in WinRAR von staatlich unterstützten Akteuren ausgenutzt wurde und weiterhin aktiv für Cyberangriffe genutzt wird. Für Nutzer und Organisationen weltweit ist es entscheidend zu verstehen, wie diese Schwachstelle funktioniert, welche Gruppen dahinterstecken und welche Maßnahmen zur Abwehr getroffen werden sollten. Die Erkenntnisse von Google sind hierbei von besonderer Bedeutung, da sie einen tiefen Einblick in die Methoden und Ziele dieser hochentwickelten Angreifer bieten. Wer nach “Google Winrar” sucht, findet sich schnell inmitten dieser alarmierenden Informationen wieder.

Die fragliche Sicherheitslücke, bekannt als CVE-2023-38831 (CVSS-Score: 7.8), ermöglicht Angreifern die Ausführung von beliebigem Code auf Windows-Systemen. Dies geschieht, wenn ein Benutzer versucht, eine scheinbar harmlose Datei innerhalb eines manipulierten ZIP-Archivs zu öffnen. Obwohl der Patch für diese Schwachstelle bereits verfügbar ist, wird sie seit mindestens April 2023 aktiv ausgenutzt, was die Dringlichkeit von Software-Updates unterstreicht.

WinRAR Logo mit Warnzeichen symbolisiert Sicherheitslücke und staatliche Hackeraktivitäten, entdeckt von GoogleWinRAR Logo mit Warnzeichen symbolisiert Sicherheitslücke und staatliche Hackeraktivitäten, entdeckt von Google

Googles Beobachtungen: Staatlich unterstützte Bedrohungsakteure im Fokus

Die Google Threat Analysis Group (TAG) hat in den letzten Wochen die Aktivitäten von drei verschiedenen Clustern verfolgt, die diese WinRAR-Schwachstelle ausnutzen. Diese Gruppen sind unter den geografischen Bezeichnungen FROZENBARENTS (auch bekannt als Sandworm), FROZENLAKE (alias APT28) und ISLANDDREAMS (alias APT40) bekannt. Alle drei sind als staatlich unterstützte Akteure identifiziert, die aus Russland und China operieren und unterschiedliche Ziele und Opfergruppen im Visier haben. Die Tatsache, dass große Tech-Unternehmen wie Google diese Bedrohungen aktiv überwachen, zeigt die globale Reichweite und die Ernsthaftigkeit der Situation. Wenn Sie sich fragen, wie komprimierte Dateien auf anderen Systemen verwaltet werden, bietet unser Artikel über winrar linux weitere Einblicke in alternative Lösungen.

Angriffskampagnen der russischen Gruppen

Die russischen staatlich unterstützten Akteure, insbesondere Sandworm und APT28, haben die WinRAR-Lücke in gezielten Phishing-Kampagnen eingesetzt:

Sandworm und der Rhadamanthys-Stealer

Anfang September wurde eine Phishing-Kampagne, die mit Sandworm in Verbindung gebracht wird, beobachtet. Dabei wurde eine ukrainische Drohnenkriegsschule imitiert. Die Angreifer verteilten eine bösartige ZIP-Datei, die CVE-2023-38831 ausnutzte, um Rhadamanthys, eine kommerziell erhältliche Stealer-Malware, zu verbreiten. Rhadamanthys wird für etwa 250 US-Dollar pro Monat angeboten und dient dem Diebstahl sensibler Informationen von infizierten Systemen.

APT28 und die IRONJAW-Malware

APT28, ebenfalls dem Hauptnachrichtendienst des Generalstabs der Streitkräfte der Russischen Föderation (GRU) zugeordnet, startete eine E-Mail-Kampagne, die Regierungsbehörden in der Ukraine ins Visier nahm. Die Empfänger wurden aufgefordert, eine Datei herunterzuladen, die den CVE-2023-38831-Exploit enthielt. Diese Datei war als Köder konzipiert – ein Dokument, das sich als Einladung zu einer Veranstaltung des Razumkov-Zentrums, einer ukrainischen Denkfabrik, tarnte. Das Resultat war die Ausführung eines PowerShell-Skripts namens IRONJAW, das Browser-Anmeldedaten und lokale Statusverzeichnisse stiehlt und die Informationen an eine von den Angreifern kontrollierte Infrastruktur auf webhook[.]site exportiert. Solche Angriffe verdeutlichen, wie wichtig der Schutz von Browserdaten ist, die auch bei der Nutzung von Suchmaschinen wie google chrome yahoo kritisch sein können.

Chinesische APT-Gruppe APT40 und weitere Akteure

Neben den russischen Gruppen hat auch die chinesische Bedrohungsakteurin APT40 die WinRAR-Schwachstelle ausgenutzt.

APT40 und die BOXRAT-Backdoor

APT40, eine an China gebundene Spionagegruppe, führte eine Phishing-Kampagne durch, die Papua-Neuguinea zum Ziel hatte. Die E-Mails enthielten einen Dropbox-Link zu einem ZIP-Archiv, das den CVE-2023-38831-Exploit enthielt. Die Infektionskette führte zur Bereitstellung eines Droppers namens ISLANDSTAGER, der wiederum BOXRAT lädt – eine .NET-Backdoor, die die Dropbox-API für Befehls- und Kontrollfunktionen nutzt.

Weitere Akteure und die globale Reichweite der Bedrohung

Die Offenlegung der Google TAG-Ergebnisse baut auf früheren Erkenntnissen von Cluster25 auf, die bereits Angriffe der APT28-Hackergruppe detailliert beschrieben hatten, bei denen die WinRAR-Lücke zum Sammeln von Anmeldedaten genutzt wurde. Darüber hinaus haben sich weitere staatlich unterstützte Gegner wie Konni (mit Überschneidungen zur nordkoreanischen Gruppe Kimsuky) und Dark Pink (auch bekannt als Saaiwc Group) in die Riege der Ausnutzer eingereiht, wie Berichte des Knownsec 404 Teams und NSFOCUS zeigen. Die Vielfalt der verwendeten Archivformate ist groß, neben ZIP ist auch das 7z Dateiformat weit verbreitet. Diese Bedrohungen unterstreichen, dass digitale Sicherheit eine fortlaufende Herausforderung darstellt, die Software wie apple photoshop und alle anderen Anwendungen betrifft, die mit externen Dateien interagieren.

Die anhaltende Gefahr bekannter Schwachstellen

Kate Morgan, Forscherin bei Google TAG, betonte, dass die weitreichende Ausnutzung der WinRAR-Lücke zeigt, dass Exploits für bekannte Schwachstellen trotz verfügbarer Patches äußerst effektiv sein können. “Selbst die ausgeklügeltsten Angreifer tun nur das Nötigste, um ihre Ziele zu erreichen”, so Morgan. Dies unterstreicht die Notwendigkeit für Benutzer und Organisationen, Software zeitnah zu aktualisieren und stets wachsam zu bleiben.

Fazit und Handlungsempfehlungen

Die aktive Ausnutzung der WinRAR-Sicherheitslücke CVE-2023-38831 durch staatlich unterstützte Bedrohungsakteure ist ein ernstes Warnsignal. Sie zeigt, dass selbst weit verbreitete und scheinbar harmlose Software wie WinRAR ein Einfallstor für komplexe Cyberangriffe sein kann, deren Tragweite von Google umfassend analysiert wurde. Um sich vor solchen Bedrohungen zu schützen, sind folgende Maßnahmen unerlässlich:

  • WinRAR aktualisieren: Stellen Sie sicher, dass Sie immer die neueste Version von WinRAR verwenden, um alle bekannten Sicherheitslücken zu schließen.
  • Vorsicht bei E-Mails und Downloads: Seien Sie extrem vorsichtig bei E-Mails von unbekannten Absendern und laden Sie keine Anhänge herunter, deren Herkunft Sie nicht eindeutig vertrauen. Phishing-Angriffe sind die häufigste Methode, um Exploits zu verbreiten.
  • Sicherheitsbewusstsein schärfen: Schulen Sie sich und Ihre Mitarbeiter regelmäßig im Bereich Cybersicherheit, um Phishing-Versuche und andere Social-Engineering-Taktiken erkennen zu können.
  • Sicherheitssoftware einsetzen: Nutzen Sie aktuelle Antivirenprogramme und Firewalls, die in der Lage sind, bösartige Software zu erkennen und zu blockieren.

Die Erkenntnisse, die von Google und anderen Sicherheitsforschern geteilt werden, sind ein wertvoller Beitrag zur Stärkung der globalen Cybersicherheit. Bleiben Sie informiert und schützen Sie Ihre Systeme, um nicht Opfer dieser raffinierten Angriffe zu werden.

Quellen