WinRarのゼロデイ、暗号/株式取引口座のハッキング目的で4月から悪用されていた:CVE-2023-38831 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > WinRarのゼロデイ、暗号/株式取引口座のハッキング目的で4月から悪用されていた:CVE-2023-38831

Threat Report

Silobreaker-CyberAlert

WinRarのゼロデイ、暗号/株式取引口座のハッキング目的で4月から悪用されていた:CVE-2023-38831

山口 Tacos

山口 Tacos

2023.08.24

WinRarのゼロデイ、暗号/株式取引口座のハッキング目的で4月から悪用されていた:CVE-2023-38831

ファイル圧縮・解凍ユーティリティ「WinRar」におけるゼロデイ脆弱性CVE-2023-38831が、仮想通貨や株式のトレーダーを騙してマルウェアをインストールさせる目的で、今年4月から悪用されていたとの報道。金銭的動機を持つ攻撃者によるものと思われるこのキャンペーンにより、少なくとも130台以上の端末がマルウェアに感染したという。

WinRarのゼロデイ脆弱性CVE-2023-38831

今回悪用が明らかになったゼロデイ脆弱性CVE-2023-38831は、ファイル拡張子のスプーフィングを可能にする脆弱性。同脆弱性を発見したGroup-IBによると、これを悪用した攻撃者は、実際には有害なファイルでありながらも一見したところ無害に見えるJPG画像やテキストファイル、PDFドキュメントなどを含む.RARや.ZIPアーカイブを作成できるようになるという。そしてこれらのファイルが開かれると、スクリプトが実行されてデバイス上にマルウェアがインストールされることになる。

仮想通貨や株取引に関するオンラインフォーラムが標的に

CVE-2023-38831を悪用するキャンペーンの標的となったのは、仮想通貨や株取引に関するやり取りが行われるオンラインフォーラム。攻撃者は、自身も取引戦略の議論に熱を上げるトレーダーであるかのように装い、「ビットコイン取引のための個人的にベストな戦略」と題した投稿を作成し、本文内に悪意あるWinRAR ZIPまたはRARアーカイブへのリンクを貼っていたという。

アーカイブには取引戦略についての情報が含まれていると考えた他のフォーラムメンバーがこれを開くと、一見無害なPDFなどのファイルが表示される。しかしこのPDFをダブルクリックするとCVE-2023-38831によってフォルダ内のスクリプトが実行され、マルウェアがインストールされてしまうのだという。インストールされるマルウェアには、DarkMe、GuLoader、Remcos RATなどがあるとされる。このうちDarkMeは、以前よりサイバー犯罪グループEvilNumとの関連が指摘されているものの、Group-IBは今回のキャンペーンと同グループとのつながりを結論づけるには至っていない。

トレーダーの端末130台以上がマルウェア感染

悪意あるアーカイブを含む投稿は、少なくとも8つのフォーラムに出回り、その結果フォーラムに参加していたトレーダーの端末130台がマルウェアに感染したという。ただ、感染した端末内の取引口座からどれほどの額の資金が盗み取られたのかは不明。

WinRARユーザーは最新版のインストールを

Group-IBはCVE-2023-38831の悪用について伝えるレポートの冒頭で、WinRARの全ユーザーに対し、最新バージョン「WinRAR 6.23」(8月2日にリリース)のインストールを強く推奨している。同バージョンには別の重大なRCEの脆弱性CVE-2023-40477に対する修正も含まれることから、まだインストールを実施していないユーザーには、一刻も早く両脆弱性に対応することが求められる。

関連記事:WinRARに深刻度の高いRCEの脆弱性:CVE-2023-40477

(情報源:BleepingComputer “WinRAR zero-day exploited since April to hack trading accounts”、Help Net Security ”Attackers exploited WinRAR zero-day for months to steal money from brokers (CVE-2023-38831)”)

8月24日:その他の注目ニュース

4,000万ドル規模の暗号通貨強盗に北朝鮮関連のグループが関与か、FBIが警告

The Hacker News – Aug 23, 2023

米連邦捜査局(FBI)は22日、北朝鮮と連携している脅威アクターTraderTraitor(別名Jade Sleet)が、4,000万ドル以上に相当する盗まれた暗号通貨を、現金化しようとする可能性があると警告した。FBIの捜査により、同グループが、複数回にわたって盗まれた暗号通貨のうちおよそ1,580ビットコインを過去24時間の間に移動させており、現在これらの資金を6つの異なるウォレットに保管していることが明らかになったという。

TraderTraitorには、Lazarus傘下の別の北朝鮮のグループAPT3(別名BlueNoroffまたはStardust Chollima)との重複がみられ、これまでにも、制裁対象国である北朝鮮に不正な収入をもたらす目的で、デジタル資産を略奪するべくブロックチェーンと暗号通貨取引所を標的にした一連の攻撃を行ってきたとされている。この攻撃では過去にAlphapo、CoinsPaid、Atomic Walletのほか、Sky MavisのRonin NetworkやHarmony Horizon Bridgeが標的とされた。

民間企業は資金の保管先とされるウォレットのアドレスに関連するブロックチェーンデータを調べ、そのアドレスを直接使用することや、アドレスに由来する取引に警戒する必要があると、FBIは述べている。

英裁判所、テクノロジー企業数社をハッキングした10代のLapsus$メンバー2名に有罪判決

The Record – August 23rd, 2023

英裁判所は23日、10代の若者2名に対し、Uber、Revolut、ゲーム開発会社Rockstar Gamesのコンピューターネットワークに侵入するハッキングに参加した容疑で有罪判決を下した。

Arion Kurtaj被告(18歳)は、2022年9月にライドヘイリング企業Uber、フィンテック企業Revolut、『グランド・セフト・オート』の開発会社Rockstar Gamesのシステムに相次いで侵入したという。同被告はLapsus$グループの主要メンバーとして説明されていたが、上記3社のハッキング時には単独で行動していたとされる。Kurtaj被告は自閉症を持つことから、精神科医によって裁判を受ける資格がないと判断されたとのこと。2人目の被告(17歳)は、法律上の理由から名前は明かされていないが、電気通信会社BTやグラフィックカード製造会社Nvidiaを脅迫しようとする試みに参加した罪で有罪判決を受けたという。

検察当局によると、これらのハッキング事件に両被告が関与していたとの判断は、2人が自分たちの悪ふざけを自慢するために使ったとされる多くのEメールやTelegramのアカウントから彼らのIPアドレスを突き止めた捜査員によってなされたという。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ