Googles Threat Analysis Group (TAG) hat in den vergangenen Wochen mehrere regierungsgestützte Cybergangs beobachtet, die eine bekannte Sicherheitslücke in WinRAR angreifen. Die Lücke ermöglicht das Verschleiern von Dateiendungen und wurde ebenfalls mit WinRAR 6.23 geschlossen (CVE-2023-38831).
Angriffe von staatlichen Angreifern
Googles TAG berichtet von der Gruppe Sandworm (Frozenbarents), die den russischen Streitkräften und dem russischen Geheimdienst zugeordnet werden, die den Energiesektor angegriffen hat und mit Hack- und Leak-Operationen fortfahre. Sie startete etwa am 6. September eine E-Mail-Kampagne, in der sie sich als ukrainische Drohnen-Kriegsführungsschule ausgaben. Opfer lockten die Mails mit einer Einladung, der Schule beizutreten. Hinter einem Link in der Mail verbarg sich ein PDF zur Tarnung und eine ZIP-Datei, die die Sicherheitslücke in WinRAR ausnutzte; der Name lautete übersetzt „Trainingsprogramm für Operators“. Die Malware Rhadamanthys im Archiv kann als Infostealer unter anderem etwa Zugangsdaten aus dem Browser und Session-Informationen ausschleusen.
Am 4. September hat Googles TAG eine mit dem russischen Geheimdienst GRU verbandelte Cybergang APT28, oder auch Frozenlake, bei der Auslieferung von Schadsoftware im Energiesektor beobachtet. Die Gruppe setzte auf einen kostenlosen Hosting-Provider, um die Malware an Nutzerinnen und Nutzer in der Ukraine zu verteilen. Die Spearphishing-Kampagne setzte auf Browser-Checks, um sicherzustellen, dass die Besucher aus der Ukraine stammen, und versuchte, die Datei mit dem WinRAR-Exploit herunterzuladen. Getarnt war die Seite als Einladung zum ukrainischen Think-Tank Razumkov Centre.
Handlungsempfehlungen für Unternehmen
Stumptner IT empfiehlt allen Unternehmen, die betroffenen Versionen von WinRAR so schnell wie möglich zu aktualisieren. Die Updates stehen auf der Website von WinRAR zum Download bereit.
Um die Sicherheit ihrer IT-Infrastruktur weiter zu erhöhen, sollten Unternehmen folgende Maßnahmen ergreifen:
- Regelmäßige Software-Updates installieren
- Firewalls und andere Sicherheitssysteme auf bekannte Sicherheitslücken prüfen
- Mitarbeiter für Cybersicherheit sensibilisieren
- Sicherheitsvorfälle melden
Weitere Informationen
Weitere Informationen zu den Sicherheitslücken und den Updates finden Sie in der Sicherheitsmeldung von WinRAR.
Kontakt
Wenn Sie Fragen zur Cybersicherheit haben, wenden Sie sich gerne an Stumptner IT. Wir beraten Sie gerne und finden gemeinsam die passende Lösung für Ihr Unternehmen.
Über Stumptner IT
Stumptner IT ist ein IT-Systemhaus mit langjähriger Erfahrung in der Cybersicherheit. Wir bieten Unternehmen und Organisationen ein breites Portfolio an Sicherheitslösungen und -dienstleistungen. Dazu gehören unter anderem:
- Cybersicherheitsberatung
- IT-Sicherheitsaudits
- IT-Sicherheitstrainings
- Managed Security Services