Nhóm hacktivist Head Mare đã lợi dụng lỗ hổng trong WinRAR để xâm nhập và mã hóa các hệ thống chạy trên Windows và Linux.
Nhóm này, hoạt động từ khi bắt đầu cuộc xung đột Nga-Ukraine, chủ yếu nhắm vào các tổ chức ở Nga và Belarus. Các cuộc tấn công của họ được đặc trưng bởi các kỹ thuật tinh vi tập trung vào việc gây ra sự gián đoạn tối đa.
Lỗ hổng: CVE-2023-38831
Theo báo cáo Danh sách bảo mật, lỗ hổng do Head Mare khai thác, được xác định là CVE-2023-38831, nằm trong WinRAR, một tiện ích lưu trữ tệp phổ biến.
Lỗ hổng này cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống của nạn nhân thông qua các tệp lưu trữ được chế tạo đặc biệt. Bằng cách khai thác lỗ hổng này, Head Mare có thể phân phối và che giấu các tải trọng độc hại một cách hiệu quả hơn.
Khai thác hoạt động như thế nào
Khi người dùng cố gắng mở một tài liệu có vẻ hợp pháp trong kho lưu trữ bị xâm nhập, mã độc sẽ được thực thi, cấp cho kẻ tấn công quyền truy cập vào hệ thống.
Phán quyết mà sản phẩm của chúng tôi phát hiện mẫu PhantomDL: phần mềm độc hại được nhận dạng, trong số những thứ khác, là một khai thác cho CVE-2023-38831
Phương pháp tấn công này nguy hiểm vì nó dựa vào tương tác của người dùng, khiến việc phát hiện thông qua các biện pháp bảo mật truyền thống trở nên khó khăn hơn.
Truy cập ban đầu và duy trì kết nối
Head Mare có được quyền truy cập ban đầu thông qua các chiến dịch lừa đảo, phân phối các kho lưu trữ độc hại khai thác lỗ hổng WinRAR. Khi đã xâm nhập, chúng sử dụng nhiều phương pháp khác nhau để duy trì sự tồn tại, chẳng hạn như thêm các mục vào sổ đăng ký Windows và tạo các tác vụ theo lịch trình.
Các cuộc tấn công của Head Mare đã ảnh hưởng đến nhiều
ngành công nghiệp, bao gồm các tổ chức chính phủ, giao thông vận tải, năng lượng, sản xuất và giải trí. Mục tiêu chính của chúng dường như là phá vỡ các hệ thống và yêu cầu tiền chuộc thay vì chỉ vì lợi ích tài chính.
Nhóm này duy trì sự hiện diện công khai trên phương tiện truyền thông xã hội, nơi chúng thỉnh thoảng đăng thông tin về các nạn nhân của mình.
Không giống như một số nhóm hacktivist, Head Mare cũng yêu cầu tiền chuộc để giải mã dữ liệu, thêm một chiều hướng tài chính vào các cuộc tấn công có động cơ chính trị của mình.
Sự xáo trộn và ngụy trang
Các mẫu phần mềm độc hại thường được che giấu bằng các công cụ như Garble, khiến chúng khó phát hiện và phân tích hơn. Ngoài ra, nhóm này sử dụng tiện ích mở rộng kép trong các chiến dịch lừa đảo, khiến các tệp độc hại xuất hiện dưới dạng tài liệu vô hại.
Các hoạt động của Head Mare làm nổi bật bản chất đang phát triển của các mối đe dọa mạng trong bối cảnh xung đột địa chính trị.
Bằng cách khai thác các lỗ hổng như CVE-2023-38831, họ chứng minh sự hiểu biết sâu sắc về các khía cạnh kỹ thuật và tâm lý của chiến tranh mạng.
Các tổ chức ở Nga và Belarus nên ưu tiên vá các lỗ hổng như CVE-2023-38831 và nâng cao khả năng phát hiện lừa đảo của họ.
Các cuộc kiểm tra bảo mật thường xuyên và đào tạo nhân viên về cách nhận biết các nỗ lực lừa đảo cũng có thể giúp giảm thiểu rủi ro của các cuộc tấn công như vậy.
Khi các nhóm hacktivist tiếp tục tinh chỉnh các chiến thuật của mình, tầm quan trọng của các biện pháp an ninh mạng mạnh mẽ không thể bị cường điệu hóa.
Trường hợp của Head Mare nhắc nhở chúng ta về sự tương tác phức tạp giữa công nghệ và chính trị quốc tế, nơi các công cụ kỹ thuật số trở thành vũ khí trong các cuộc xung đột rộng lớn hơn.
