Theo BleepingComputer, sau khi xảy ra sự cố với Sandworm và APT28 (còn gọi là Fancy Bear), một nhóm tin tặc khác do chính phủ Nga hậu thuẫn có tên APT29 đang tận dụng lỗ hổng CVE-2023-38831 trong phần mềm nén tệp WinRAR để thực hiện các cuộc tấn công mạng.
Trước đó vào đầu năm 2022, cũng đã có các thông tin báo cáo về sự tồn tại lỗ hổng bảo mật trong phần mềm WinRAR và việc lợi dụng nó để thực hiện các cuộc tấn công độc hại. Trên nền tảng này, trong cuộc tấn công mới được phát hiện, Hội đồng Quốc phòng và An ninh Quốc gia Ukraine (NDSC) đã công bố rằng họ đã phát hiện nhóm APT29 đang nhắm mục tiêu vào các cơ quan đại sứ quán của quốc gia ngoại vi thông qua hàng loạt email giả mạo bán xe hơi hãng BWM.
Dựa trên quan sát, APT29 có thể đang hướng mục tiêu vào các cơ quan đại sứ của các quốc gia như Hy Lạp, Azerbaijan, Romania và Ý. Nhóm này sử dụng phần mềm độc hại có khả năng đánh cắp thông tin, ăn cắp mật khẩu được lưu trong trình duyệt, các tài liệu mật, thông tin hệ thống, ...
Lỗ hổng bảo mật CVE-2023-38831 ảnh hưởng đến phiên bản WinRAR trước 6.23 và cho phép kẻ tấn công tạo các tệp nén có định dạng .RAR và .ZIP có thể thực thi mã độc một cách lén lút. Lỗ hổng này đã được khai thác từ tháng 4 dưới hình thức zero-day bởi các tin tặc nhắm vào các diễn đàn giao dịch chứng khoán và tiền điện tử.
Công ty RAR Labs, người phát triển phần mềm nén WinRAR, đã ra mắt một bản vá cách đây vài tháng. Họ đồng thời khuyến nghị cho tất cả người dùng cài đặt phiên bản này nhằm tránh bị ảnh hưởng bởi các cuộc tấn công từ các tin tặc.
