Selon BI.ZONE, Paper Werewolf a diffusé les exploits en juillet et en août par le biais d’archives jointes à des courriels usurpant l’identité d’employés de l’All-Russian Research Institute (Institut de recherche russe). L’objectif final était d’installer un logiciel malveillant permettant à Paper Werewolf d’accéder aux systèmes infectés.
Bien que les découvertes d’ESET et de BI.ZONE soient indépendantes l’une de l’autre, on ne sait pas si les groupes qui exploitent les vulnérabilités sont liés ou s’ils ont acquis les connaissances à partir de la même source. BI.ZONE a émis l’hypothèse que Paper Werewolf se serait procuré les vulnérabilités sur un forum criminel du marché noir.
ESET a déclaré que les attaques observées suivaient trois chaînes d’exécution. La première chaîne, utilisée dans les attaques visant une organisation spécifique, exécute un fichier DLL malveillant caché dans une archive à l’aide d’une méthode connue sous le nom de COM hijacking (détournement de COM) qui le fait exécuter par certaines applications telles que Microsoft Edge. Elle se présentait comme suit :
Illustration de la chaîne d’exécution de l’installation de Mythic Agent.
Crédit :
ESET
Illustration de la chaîne d’exécution de l’installation de Mythic Agent.
Crédit :
ESET
Le fichier DLL de l’archive décryptait le shellcode intégré, qui récupérait le nom de domaine de la machine actuelle et le comparait à une valeur codée en dur. Lorsque les deux correspondent, le shellcode installe une instance personnalisée du cadre d’exploitation Mythic Agent.
Une deuxième chaîne a exécuté un exécutable Windows malveillant pour livrer une charge utile finale installant SnipBot, un logiciel malveillant RomCom connu. Il a bloqué certaines tentatives d’analyse judiciaire en se terminant lorsqu’il était ouvert dans une machine virtuelle vide ou un bac à sable, une pratique courante chez les chercheurs. Une troisième chaîne utilisait deux autres logiciels malveillants RomCom connus, l’un sous le nom de RustyClaw et l’autre sous celui de Melting Claw.
Les vulnérabilités de WinRAR ont déjà été exploitées pour installer des logiciels malveillants. Une vulnérabilité d’exécution de code datant de 2019 a été largement exploitée en 2019 peu après avoir été corrigée. En 2023, une faille WinRAR a été exploitée pendant plus de quatre mois avant que les attaques ne soient détectées.
Outre sa base d’utilisateurs massive, WinRAR constitue un véhicule parfait pour la diffusion de logiciels malveillants, car l’utilitaire ne dispose d’aucun mécanisme automatisé pour l’installation de nouvelles mises à jour. Les utilisateurs doivent donc télécharger et installer eux-mêmes les correctifs. De plus, ESET a déclaré que les versions Windows des utilitaires de ligne de commande UnRAR.dll et du code source portable UnRAR sont également vulnérables. Les utilisateurs doivent éviter toutes les versions de WinRAR antérieures à la version 7.13, qui était la plus récente au moment de la mise en ligne de cet article. Elle contient des correctifs pour toutes les vulnérabilités connues, bien qu’étant donné le flux apparemment ininterrompu de journées zéro de WinRAR, ce n’est pas une grande garantie.