一些由政府支持的 APT 正在利用 CVE-2023-38831漏洞，這是 WinRAR 中的一個文件擴展名欺騙漏洞。

CVE-2023-38831 已于 2023 年 8 月與另一個高嚴重性 RCE 漏洞（CVE-2023-40477）一起被修補。

自 2023 年 4 月以來，該漏洞一直被網絡犯罪分子作為零日漏洞加以利用，現在也被國家支持的黑客組織所利用。谷歌 TAG 分析師指出：對 WinRAR 漏洞的廣泛利用也表明，盡管已經有了補丁，但對已知漏洞的利用依舊活躍且有效。

攜帶漏洞的釣魚電子郵件

谷歌分析師已經標記了幾個使用 CVE-2023-38831 的活動，并分享了與所有這些攻擊相關的 IoC。

臭名昭著的 "沙蟲"（Sandworm）黑客在 9 月初假冒了一所烏克蘭無人機戰(zhàn)爭培訓學校。他們發(fā)送的電子郵件包含加入學校的邀請函和一個誘殺歸檔文件，該文件在使用易受攻擊的 WinRAR 版本解壓后，會運行 Rhadamanthys 信息竊取程序。

大約在同一時間，"花式熊"（APT28，據稱也是由俄羅斯政府贊助的）針對在能源領域工作的烏克蘭人發(fā)送了一份來自烏克蘭公共政策智囊團的虛假活動邀請函。

谷歌研究人員還分析了 9 月份上傳到 VirusTotal 的一個文件（IOC_09_11.rar），該文件觸發(fā)了一個 PowerShell 腳本，可竊取瀏覽器登錄數據和本地狀態(tài)目錄。

DuskRise的Cluster25威脅情報團隊的研究人員表示，該文件似乎包含多種惡意軟件的破壞指標（IoCs），但也會觸發(fā)WinRAR漏洞和啟動PowerShell命令，從而在目標計算機上打開一個反向shell，并外泄存儲在谷歌Chrome瀏覽器和微軟Edge瀏覽器中的登錄憑證。

研究人員還補充說：根據 Cluster25 的可見性，并考慮到感染鏈的復雜性，該攻擊可能與俄羅斯國家支持的組織 APT28（又名 Fancy Bear、Sednit）有關。

谷歌的分析師指出：即使是最復雜的攻擊者，也只會采取必要的手段來達到目的。顯然，這些威脅行為者是針對那些在關鍵補丁方面落后的組織。

參考鏈接：https://www.helpnetsecurity.com/2023/10/18/apts-winrar-cve-2023-38831/