Kiberjinoyatchilar WinRARdagi zaiflikdan faol foydalanmoqdalar.
Mart oyida APT guruhi MuddyWater tomonidan uyushtirilgani taxmin qilinayotgan hujumlar haqida xabar berilgan edi.
Microsoft telekommunikatsiya kompaniyalari tomonidan foydalaniladigan Windows kompyuterlariga mart oyidagi hujumlar tafsilotlarini e’lon qildi. «G’ayrioddiy, qiziqarli usullar» APT guruhi MuddyWaterning ushbu hodisalarga aloqadorligi mumkinligini ko’rsatadi. Hujumlar paytida hujumchilar WinRAR (CVE-2018-20250) dagi ma’lum zaiflikdan foydalanishgan, bu zaiflik so’nggi oylarda kiberjinoyatchilar va APT guruhlari orasida tobora ommalashib bormoqda. Hujumchilar Check Pointning 20-fevraldagi nashridan so’ng darhol ushbu zaiflikdan foydalanishgan. Tadqiqotchilar zaiflikdan maxsus konfiguratsiya qilingan ACE fayli (ACE fayl formati) yordamida tizimda ixtiyoriy kodni bajarish uchun qanday foydalanish mumkinligini namoyish etishdi.
WinRARning yangi, yamalgan versiyasi Check Point nashr etilishidan bir oy oldin chiqarilgan edi, ammo hatto mart oyida ham Microsoft CVE-2018-20250 yordamida hujumlarni aniqlayotgan edi.
Mart oyidagi kampaniya davomida tajovuzkorlar Afgʻoniston Ichki ishlar vazirligidan kelgan deb taxmin qilinadigan fishing elektron pochta xabarlarini yuborishdi. Ularning ijtimoiy muhandislik texnikalari WinRARdagi cheklangan zaiflikdan foydalanib, tizimni toʻliq masofadan turib buzib kirishga erishish uchun puxta ishlab chiqilgan.
Fishing elektron pochtalarida OneDrive’dagi boshqa hujjatga havolasi bo‘lgan Microsoft Word hujjati mavjud edi. Unda aniqlanmasligi mumkin bo‘lgan zararli makrolar yo‘q edi. Biroq, OneDrive’dan yuklab olingan hujjatda zararli makrolar mavjud bo‘lib, ular faollashtirilganda jabrlanuvchining tizimiga zararli dasturlarni yuklab olgan.
Hujjatda shuningdek, «Keyingi sahifa» tugmasi ham mavjud bo’lib, unda DLL faylining yo’qolishi va kompyuterni qayta ishga tushirish zarurati haqida soxta bildirishnoma ko’rsatilgan edi. Bu hiyla zarur edi, chunki zaiflik zararli dasturga fayllarni faqat ma’lum bir papkaga yozish imkonini beradi, ularni darhol ishga tushirmaydi. Shuning uchun, ideal stsenariy zararli dasturni kompyuter qayta ishga tushirilgandan so’ng darhol ishga tushiriladigan Startup papkasida ishga tushirish edi. Qayta ishga tushirilgandan so’ng, zararlangan tizimda PowerShell orqa eshigi ishga tushirilib, tajovuzkorlarga uni to’liq boshqarish imkonini beradi.
