ClickCease 러시아 및 중국의 위협 행위자들에 노출된 WinRAR 결함

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

러시아 및 중국의 위협 행위자들에 노출된 WinRAR 결함

와자핫 라자

2023년 11월 2일 TuxCare 전문가 팀

최근 보안 전문가들은 알려진 취약점 악용과 관련된 사이버 위협이 급증하는 것을 감지했습니다, CVE-2023-38831의 취약점을 악용한 사이버 위협이 급증하고 있습니다. 이러한 사이버 위협은 러시아와 중국 정부의 지원을 받는 해킹 그룹에서 비롯된 것으로, 사이버 보안에 대한 경계 태세를 유지하는 것이 시급함을 강조합니다. 이 블로그에서는 이에 대한 자세한 내용을 살펴봅니다. WinRAR 결함 결함에 대해 자세히 알아보고 시스템을 보호하는 방법에 대해 논의합니다.

 

WinRAR 결함 이해하기


CVE-2023-38831은 WinRAR의 논리적
WinRAR의 논리적 취약점 의 논리적 취약점으로, 사용자가 ZIP 아카이브 내의 정상 파일을 열려고 할 때 공격자가 임의의 코드를 실행할 수 있게 해줍니다. 이 취약점은 2023년 초에 처음 발견되었으며, 처음에는 방어자가 이 취약점을 인식하지 못한다는 사실을 악용한 사이버 범죄자들이 악용했습니다. WinRAR의 개발사인 RARLabs는 2023년 8월에 이 문제를 해결한 소프트웨어의 업데이트 버전을 즉시 출시했습니다. 그러나 많은 사용자가 아직 소프트웨어를 업데이트하지 않았기 때문에 여전히 취약한 상태입니다.

이 결함은 특수하게 제작된 아카이브를 처리할 때 WinRAR이 임시 파일 확장을 처리하는 방식에 뿌리를 두고 있습니다. 사용자가 아카이브 내의 파일을 보려고 하면 WinRAR은 해당 디렉터리를 찾아 선택한 파일과 해당 디렉터리 내의 파일을 모두 임시 위치로 추출합니다. 이 과정에서 WinRAR은 파일 경로를 정규화하여 추가 공백을 제거합니다. 그러나 Windows의 ShellExecute 함수가 작동하는 방식에 문제가 있어 문제가 복잡해집니다.

WinRAR이 ShellExecute를 호출하면 사용자가 선택한 파일을 열기 위해 후행 공백이 있는 경로를 제공합니다. ShellExecute는 파일 확장명을 식별하려고 시도하고 확장명에 공백이 있는 경우 기본 검색 로직을 사용하여 실행 파일을 식별합니다. 이것이 문제의 핵심입니다. 파일 확장명 어디든 공백이 있으면 취약점이 트리거되어 의도하지 않은 코드 실행으로 이어질 수 있습니다.


시사점 및 악용 사례


CVE-2023-38831의 익스플로잇은 심각한 영향을 미칩니다. Group-IB의 블로그 게시물에 요약된 대로, 사이버 범죄자들은
WinRAR 결함을 악용제로 데이로 제로데이를 악용하고 있었습니다. 그들은 이 취약점을 이용해 금융 거래자들을 대상으로 다양한 상품 멀웨어군을 배포하는 캠페인을 시작했습니다. 설상가상으로 취약점이 공개된 직후 개념 증명 및 익스플로잇 생성기가 공개 리포지토리에 공개되어 악의적인 공격자들이 취약점을 쉽게 실험할 수 있게 되었습니다.


위협 행위자별 캠페인


사태의 심각성을 강조하는 수많은 캠페인이 등장했습니다:

  1. 에너지 부문을 노리는 프로즌바렌츠: 러시아군 총참모부와 연계된 것으로 추정되는 이 그룹은 에너지 부문을 표적으로 삼았습니다. 이들은 우크라이나 드론 전쟁 훈련 학교를 사칭한 이메일 캠페인을 사용했습니다. 이 이메일에는 CVE-2023-38831을 악용하는 악성 ZIP 파일 링크가 포함되어 있었습니다. 이 페이로드에는 민감한 정보를 수집할 수 있는 라다만티스 인포스틸러가 포함되어 있었는데, 놀랍게도 이 인포스틸러는 보통 사이버 범죄자들이 사용하는 것입니다.
  2. 프로즌레이크와 우크라이나 정부 조직: 러시아 GRU의 소행으로 추정되는 프로즌레이크는 우크라이나 정부 조직을 표적으로 삼았습니다. 이들은 무료 호스팅 제공업체를 고용하여 피해자들에게 CVE-2023-38831을 제공했습니다. 이 캠페인은 가짜 이벤트 초대장을 미끼로 에너지 인프라를 표적으로 삼아 멀웨어를 유포했습니다.
  3. 파푸아뉴기니를 표적으로 삼은 ISLANDDREAMS: 중국 정부의 지원을 받는 그룹이 조율한 것으로 알려진 이 캠페인은 파푸아뉴기니를 표적으로 삼았습니다. 공격자들은 CVE-2023-38831 익스플로잇이 포함된 Dropbox 링크가 포함된 피싱 이메일을 사용했습니다. 페이로드, ISLANDSTAGER는 Dropbox의 API를 통신 메커니즘으로 활용하는 .NET 백도어입니다.

배운 교훈


광범위하게 악용되고 있는
WinRAR 보안 문제 은 소프트웨어 패치를 최신 상태로 유지하는 것이 매우 중요하다는 것을 강조합니다. 아무리 정교한 공격자라도 알려진 취약점을 이용하기 때문에 사용자와 조직은 시스템을 안전하게 유지해야 합니다. 단순히 취약점을 인지하는 것만으로는 충분하지 않으며 패치를 적용하는 신속한 조치가 필수적입니다.


시스템 보안


이러한 위협으로부터 시스템을 보호하려면 사전 예방적인 접근 방식이 필요합니다:

 

  1. WinRAR 업데이트하기: 가장 중요한 첫 번째 단계는 WinRAR 설치가 최신 버전으로 업데이트되었는지 확인하는 것입니다. RARLabs는 WinRAR 취약점 패치 를 릴리스했으며, 소프트웨어를 업데이트하는 것이 자신을 보호하는 가장 효과적인 방법입니다.
  2. 사이버 위생을 철저히 실천하세요: 이메일의 첨부파일이나 링크를 열 때는 특히 예상치 못한 것이거나 출처가 불분명한 경우 주의하세요. 사이버 범죄자들은 종종 소셜 엔지니어링을 사용하여 사용자를 속여 악성 파일을 실행하도록 유도합니다.
  3. 보안 도구 활용하기: 알려진 익스플로잇이 포함된 파일을 차단하는 데 도움이 되는 Google의 세이프 브라우징 및 Gmail과 같은 보안 도구를 사용하는 것을 고려하세요. 이러한 도구는 위협에 대한 추가적인 방어 계층 역할을 합니다.
  4. 강력한 패치 관리 전략을 구현하세요: 조직은 잘 정의된 패치 관리 전략을 수립해야 합니다. 소프트웨어 업데이트와 패치를 정기적으로 확인하고 모든 관련 시스템에 즉시 적용합니다.
  5. 사용자 교육: 적시 소프트웨어 업데이트와 사이버 보안 모범 사례의 중요성에 대해 팀원들에게 교육하세요. 사용자는 사이버 위협에 대한 첫 번째 방어선인 경우가 많습니다.
  6. 모니터링 및 인시던트 대응: 강력한 모니터링 시스템을 구현하고 사고 대응 계획을 수립하세요. 침해를 감지하고 대응할 수 있는 능력은 잠재적인 피해를 완화하는 데 매우 중요합니다.

결론


최근 WinRAR과 관련된 익스플로잇은 잘 알려진 취약점도 심각한 위협이 될 수 있음을 상기시켜 줍니다. 사이버 범죄자와 국가가 후원하는 공격자들은 이러한 취약점을 재빨리 이용하기 때문에 신속한 조치가 필수적입니다. 최신 상태 유지,
WinRAR 소프트웨어 보안 유지 최신 상태로 유지하고, 업데이트를 통해 사이버 보안 관행 시스템을 보호하는 열쇠입니다.

이러한 위협이 진화함에 따라 방어 체계도 진화해야 하며, 사이버 보안에 대한 사전 예방적이고 정보에 입각한 접근 방식을 유지하는 것이 무엇보다 중요합니다. 이러한 도전에 직면하여 보안 커뮤니티는 위협 인텔리전스를 공유하는 데 전념하고 있지만, 시스템 보안에 대한 책임은 궁극적으로 사용자와 조직에 있습니다. 안전을 지키고 보안을 유지하세요.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스구글.

요약
러시아 및 중국의 위협 행위자들에 노출된 WinRAR 결함
기사 이름
러시아 및 중국의 위협 행위자들에 노출된 WinRAR 결함
설명
러시아와 중국의 위협 공격자들이 WinRAR 결함을 어떻게 악용하는지 알아보세요. 이러한 중요한 취약성 인사이트를 통해 경계를 늦추지 말고 보안을 유지하세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기