一些由政府支持的 APT 正在利用 CVE-2023-38831漏洞，這是 WinRAR 中的一個文件擴展名欺騙漏洞。

CVE-2023-38831 已于 2023 年 8 月與另一個高嚴重性 RCE 漏洞（CVE-2023-40477）一起被修補。

自 2023 年 4 月以來，該漏洞一直被網絡犯罪分子作為零日漏洞加以利用，現在也被國家支持的黑客組織所利用。谷歌 TAG 分析師指出：對 WinRAR 漏洞的廣泛利用也表明，盡管已經有了補丁，但對已知漏洞的利用依舊活躍且有效。

攜帶漏洞的釣魚電子郵件

谷歌分析師已經標記了幾個使用 CVE-2023-38831 的活動，并分享了與所有這些攻擊相關的 IoC。

臭名昭著的 "沙蟲"（Sandworm）黑客在 9 月初假冒了一所烏克蘭無人機戰爭培訓學校。他們發送的電子郵件包含加入學校的邀請函和一個誘殺歸檔文件，該文件在使用易受攻擊的 WinRAR 版本解壓后，會運行 Rhadamanthys 信息竊取程序。

大約在同一時間，"花式熊"（APT28，據稱也是由俄羅斯政府贊助的）針對在能源領域工作的烏克蘭人發送了一份來自烏克蘭公共政策智囊團的虛假活動邀請函。

谷歌研究人員還分析了 9 月份上傳到 VirusTotal 的一個文件（IOC_09_11.rar），該文件觸發了一個 PowerShell 腳本，可竊取瀏覽器登錄數據和本地狀態目錄。

DuskRise的Cluster25威脅情報團隊的研究人員表示，該文件似乎包含多種惡意軟件的破壞指標（IoCs），但也會觸發WinRAR漏洞和啟動PowerShell命令，從而在目標計算機上打開一個反向shell，并外泄存儲在谷歌Chrome瀏覽器和微軟Edge瀏覽器中的登錄憑證。

研究人員還補充說：根據 Cluster25 的可見性，并考慮到感染鏈的復雜性，該攻擊可能與俄羅斯國家支持的組織 APT28（又名 Fancy Bear、Sednit）有關。

谷歌的分析師指出：即使是最復雜的攻擊者，也只會采取必要的手段來達到目的。顯然，這些威脅行為者是針對那些在關鍵補丁方面落后的組織。

參考鏈接：https://www.helpnetsecurity.com/2023/10/18/apts-winrar-cve-2023-38831/