457/66 (IT) ประจำวันศุกร์ที่ 20 ตุลาคม 2566
ทีมวิเคราะห์ภัยคุกคามของ Google หรือ Threat Analysis Group (TAG) รายงานว่าในช่วงไม่กี่สัปดาห์ที่ผ่านมา มีการพบกลุ่ม APT หลายกลุ่ม กำลังใช้ประโยชน์จากช่องโหว่ CVE-2023-38831 ใน WinRAR ซึ่งนักวิจัยรายงานว่ากลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐหลายกลุ่ม ได้เริ่มทำการ exploit ช่องโหว่ดังกล่าวตั้งแต่ต้นปี 2566 ซึ่งเป็นช่วงที่ช่องโหว่ยังเป็น zero-day อยู่ แต่ปัจจุบันช่องโหว่ดังกล่าวได้รับการแก้ไขแล้ว แต่ก็ยังมีอีกหลายคนที่ยังไม่ได้ทำการอัปเดตในด้านความปลอดภัย
โดยในเดือนเมษายน 2566 ผู้เชี่ยวชาญพบว่ากลุ่ม APT ชื่อว่า Sandworm/APT28 ที่ได้รับสนับสนุนจากรัสเซีย แอบอ้างเป็นโรงเรียนฝึกโดรนของยูเครน และทำการส่งอีเมลที่มีลิงก์ ไปยังบริการแชร์ไฟล์แบบไม่ระบุตัวตน fex[.]net บริการแชร์ไฟล์ถูกใช้เพื่อส่งเอกสาร PDF ที่เป็นหลักสูตรการฝึกอบรมผู้ปฏิบัติใช้งานโดรน และไฟล์ ZIP ที่สร้างขึ้นเป็นพิเศษ ต่อมาในเดือนกันยายน CERT-UA สังเกตว่ากลุ่มดังกล่าว เริ่มทำการ exploit ช่องโหว่ใน WinRAR เพื่อปรับใช้มัลแวร์ในการโจมตีที่มุ่งเป้าไปที่โครงสร้างพื้นฐานด้านพลังงาน และกลุ่ม APT40 ที่ได้รับการสนับสนุนจากจีนถูกพบว่าใช้ประโยชน์จากช่องโหว่ CVE-2023-38831 ในการโจมตีเป้าหมายในปาปัวนิวกินีด้วยเช่นกัน การใช้ประโยชน์จากช่องโหว่ใน WinRAR กำลังมีการดำเนินการอย่างกว้างขวาง จึงควรให้ความสำคัญในการแพตช์ช่องโหว่ และผู้ใช้งานควรทำการอัปเดตซอฟต์แวร์ของตนให้ทันสมัยอยู่เสมอ
แหล่งข่าว https://securityaffairs.com/152669/apt/apt-groups-winrar-flaw.html