俄罗斯和中国国家支持的威胁行为者被发现滥用流行归档工具WinRAR中的已知漏洞来提取密码和其他登录凭据等敏感信息。

通常跟踪和分析国家资助的黑客攻击者的谷歌威胁分析小组(TAG)声称已发现证据，表明该漏洞(早先被Group-IB识别为CVE-2023-38831)被用来隐藏恶意软件存档的文件。

对于普通人来说，这些文件看起来就像普通的图像或文本文档。然而，当下载和提取时，它们会用信息窃取恶意软件感染设备，这些恶意软件能够从端点获取不同的文件和信息，例如存储在浏览器中的密码和支付数据、各种系统信息等。

更糟糕的是，这不仅仅是一两个针对WinRAR用户的组-显然，它是针对尚未应用补丁的“许多用户”的“多个”组。

该补丁确实存在，不过，WinRAR背后的RarLab公司于今年8月初发布了6.23版本来解决该问题。但是，无法从内部更新程序。用户需要访问WinRAR网站，下载最新版本，然后运行安装程序，就像从头开始安装程序一样。

不过，用户会希望修补，因为其中一个组织被确定为Sandworm，这是一个俄罗斯军事情报单位，据称干扰了2016年美国总统选举。人们还认为它在俄罗斯-乌克兰战争中非常活跃，并且是臭名昭著的2017年NotPetya勒索软件攻击的幕后黑手。

另一个被识别的玩家是APT40，一个据称与中国国家安全部有联系的中国黑客组织。它利用该缺陷通过Dropbox链接瞄准巴布亚新几内亚的端点。

TAG的研究人员总结道，WinRar漏洞“凸显了利用已知漏洞可以非常有效”。