Début février une vulnérabilité vieille de 19 ans a été découverte par les chercheurs de Checkpoint au sein du logiciel WinRAR. Cette vulnérabilité permettait à un attaquant d’extraire un fichier à un emplacement arbitraire sur le système, à partir d’une archive RAR au format ACE. Depuis, des chercheurs appartenant au 360 Threat Intelligence Center (@360Tic) ont découvert que des attaquants commençaient à exploiter la vulnérabilité dans des campagnes de phishings.
On peut distinguer deux vagues dans ces campagnes : dans la première, les archives ACE ne contiennent qu’un fichier exécutable. Dans la seconde vague, les attaquants ajoutent des images à leur archive, afin d’inciter les utilisateurs à la décompresser (les images ne pouvant pas s’ouvrir dans l’inspecteur WinRAR).
Dans ces archives, on retrouve, entre autres, un fichier spécifiquement forgé, avec comme objectif d’être extrait dans le dossier Startup
de Windows. Ces fichiers, au format .exe, seront exécutés au lancement de la machine, permettant ainsi d’installer une backdoor sur le système.
Cependant, lors de l’extraction de l’archive, si l’UAC (User Account Control
) est activé, il bloquera l’action malveillante. Si celui-ci n’est pas activé, ou si WinRAR est exécuté avec des privilèges administrateurs, la backdoor sera déposée.
Les fichiers analysés par les chercheurs contiennent trois backdoors différentes, deux pour la première vague et une pour la seconde.
Pour la première vague, la backdoor (CMSTray.exe
) va exécuter le fichier wbssrv.exe
afin de se connecter à un serveur C2 (Command and Control
) et d’y télécharger divers fichiers, dont la bibliothèque Cobalt Strike Beacon
, qui est un outil utilisé dans le cadre des tests d’intrusions. Elle permettra aux attaquants de se connecter à distance à la machine. Un second type d’archive, contenant un fichier PDF qui sert d’appât, extrait un script VBS (Wipolicy.vbe
) qui téléchargera une backdoor PowerShell depuis un serveur C2.
Cette backdoor, qui fonctionne en 3 phases, télécharge tout d’abord une image PNG forgée spécifiquement. Cette image télécharge des scripts depuis le C2, et déchiffre le dernier script, qui permet à un attaquant d’exécuter du code à distance sur la machine.
Pour la seconde vague, la backdoor est OfficeUpdateService.exe
. Elle est notamment connue pour avoir été utilisée par le groupe DarkHydruns pour des attaques visant des organisations au Moyen-Orient. Écrite en C#, cette backdoor dispose de fonctionnalités avancées permettant de redémarrer la machine, de gérer les fichiers, d’installer un shell ou un Trojan, ou encore de capturer l’écran ou le son.
Recommandations
Le CERT-XMCO recommande l’installation de la version 5.70 de WinRAR disponible aux adresses suivantes :
- WinRAR 5.70 64bits : https://www.win-rar.com/postdownload.html?&L=10&f=winrar-x64-570.exe&spV=true&subD=true
- WinRAR 5.770 32bits : https://www.win-rar.com/postdownload.html?&L=10&f=wrar570.exe&spV=true&subD=true
Indicateurs de compromission (IOC)
- ModifiedVersion3.rar :
- SHA-256 :
6c702c25ec425764a303418b2d3f99ae
- Payload : CMSTray.exe (
C:C:ProgramDataMicrosoftWindowsStart MenuProgramsStartupCMSTray.exe
) - C2 : hxxp://138.204.171.108/
- VirusTotal : https://www.virustotal.com/#/file/7871204f2832681c8ead96c9d509cd5874ed38bcfc6629cbc45472b9f388e09c/details
- SHA-256 :
- JobDetail.rar :
- MD5 :
e26ae92a36e08cbaf1ce7d7e1f3d973e
- Payload : Wipolicy.vbe (
%AppData%MicrosoftWindowsStart MenuProgramsStartupWipolicy.vbe
) - C2 : hxxps://manage-shope.com:443
- MD5 :
- 10802201010葉舒華.rar :
- MD5 :
d7d30c2f26084c6cfe06bc21d7e813b1
- Payload : OfficeUpdateService.exe (
%AppData%MicrosoftWindowsStart MenuProgramsStartupOfficeUpdateService.exe
) - C2 : hxxp://conloap.linkin.tw:8080
- MD5 :
Référence
https://ti.360.net/blog/articles/upgrades-in-winrar-exploit-with-social-engineering-and-encryption/
https://www.bleepingcomputer.com/news/security/malspam-exploits-winrar-ace-vulnerability-to-install-a-backdoor/