NSFOCUSはこのほど、「The New APT Group DarkCasino and the Global Surge in WinRAR 0-Day Exploits - NSFOCUS, Inc., a global network and cyber security leader, protects enterprises and carriers from advanced cyber attacks.」において、持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「DarkCasino」が攻撃時に用いるWinRARの脆弱性が他の脅威グループでも利用されているとして、注意を呼び掛けた。
-
The New APT Group DarkCasino and the Global Surge in WinRAR 0-Day Exploits - NSFOCUS, Inc., a global network and cyber security leader, protects enterprises and carriers from advanced cyber attacks.
DarkCasinoは、2021年にNSFOCUS Research Labsが発見した経済的動機をもつ持続的標的型攻撃グループ。主にヨーロッパ、アジア、中東などの暗号通貨、オンラインカジノ、ネットワーク銀行、オンラインクレジットプラットフォームなどを標的にしているという。2023年4月にDarkCasinoが攻撃に用いたWinRARの脆弱性はCVE-2023-38831として追跡されており、悪意のあるZIPファイルを開くと不正なコードが実行されマルウェアに感染するというもの(参考:「WinRARに悪意のあるコード実行の脆弱性、ただちにアップデートを | TECH+(テックプラス)」)。この脆弱性はWinRAR バージョン6.23で修正されており、速やかにアップデートすることが推奨されている。
-
DarkCasinoの主な攻撃プロセス 引用:NSFOCUS
NSFOCUS Research Labsによると、この脆弱性が2023年8月に明らかにされて以来、複数のAPTグループのフィッシング攻撃に利用されており、さまざまな国家の政府機関が標的にされていたことが判明したという。NSFOCUS Research Labsはこれら攻撃で作成および拡散された多数のファイルを捕獲しており、攻撃例を公開している。「DarkPink」「Konni」「GhostWriter」といったAPTグループによる悪用例を解説している。また、未知の脅威グループの攻撃例として、欧州議会を標的とした攻撃などについて解説している。
DarkCasinoによって拡散したWinRARの脆弱性(CVE-2023-38831)を悪用した攻撃は、多くの脅威グループによって利用されており、主に政府機関などの重要ターゲットを攻撃する傾向にあるという。また、NSFOCUS Research Labsは商取引の請求書をおとりとする自動生成された悪意のあるファイルを捕獲している。これは大規模なフィッシング攻撃にこの脆弱性が組み込まれている可能性を示唆しており、この脆弱性の悪用が今後も拡大するのではないかと懸念されている。
