وقال Bi.Zone إن الورقة قامت بالذئب بتسليم مآثر في يوليو وأغسطس من خلال المحفوظات المرتبطة برسائل البريد الإلكتروني التي تنتحل شخصية موظفي معهد الأبحاث الروس. كان الهدف النهائي هو تثبيت البرامج الضارة التي أعطت الورق ذئب الذئب إلى الأنظمة المصابة.
على الرغم من أن اكتشافات ESET و BI.Zone كانت مستقلة عن بعضها البعض ، إلا أنها غير معروفة ما إذا كانت المجموعات التي تستغل نقاط الضعف متصلة أو اكتسبت المعرفة من نفس المصدر. تكهن Bi.Zone بأن ذئب الورق قد يكون قد اشترى نقاط الضعف في منتدى جرائم السوق المظلم.
وقال ESET إن الهجمات التي لاحظتها اتبعت ثلاث سلاسل تنفيذ. سلسلة واحدة ، تستخدم في الهجمات التي تستهدف مؤسسة معينة ، نفذت ملف DLL ضار مخفيًا في أرشيف باستخدام طريقة تعرف باسم اختطاف COM والتي تسببت في تنفيذها بواسطة تطبيقات معينة مثل Microsoft Edge. بدا الأمر هكذا:
توضيح لسلسلة التنفيذ لتثبيت الوكيل الأسطوري.
الائتمان: ESET
توضيح لسلسلة التنفيذ لتثبيت الوكيل الأسطوري.
الائتمان: ESET
ملف DLL في أرشيف رمز shellcode المضمن ، والذي استمر لاسترداد اسم المجال للجهاز الحالي ومقارنته بقيمة متشددين. عندما يتطابق الاثنان ، قام رمز shellcode بتثبيت مثيل مخصص لإطار استغلال الوكيل الأسطوري.
قامت السلسلة الثانية بإدارة نوافذ ضارة قابلة للتنفيذ لتقديم حمولة نهائية لتثبيت Snipbot ، وهي جزء من البرامج الضارة المعروفة من Romcom. لقد منعت بعض المحاولات لتحليل الطب الشرعي عن طريق الانتهاء عند فتحها في جهاز افتراضي فارغ أو صندوق رمل ، وهي ممارسة شائعة بين الباحثين. استفادت السلسلة الثالثة من قطعتين أخريين معروفين من البرامج الضارة Romcom ، واحدة تعرف باسم Rustyclaw والآخر باسم مخلب ذوبان.
تم استغلال نقاط الضعف في Winrar لتثبيت البرامج الضارة. تعرضت ثغرة الأمن التي تنطلق من عام 2019 إلى استغلال واسع في عام 2019 بعد فترة وجيزة من تصحيحها. في عام 2023 ، تم استغلال يوم صفر Winrar لأكثر من أربعة أشهر قبل اكتشاف الهجمات.
إلى جانب قاعدة المستخدمين الضخمة ، تصنع WinRar وسيلة مثالية لنشر البرامج الضارة لأن الأداة المساعدة لا تحتوي على آلية آلية لتثبيت تحديثات جديدة. هذا يعني أن يجب على المستخدمين تنزيل تصحيحات وتثبيتها بنشاط. والأكثر من ذلك ، قال ESET إن إصدارات Windows من أدوات سطر الأوامر UNRAR.DLL ورمز مصدر UNRAR المحمول هي أيضًا عرضة للخطر. يجب على الناس الابتعاد عن جميع إصدارات Winrar قبل 7.13 ، والتي ، في الوقت الذي تم فيه حدود هذا المنشور ، كان أحدث. إنه يحتوي على إصلاحات لجميع نقاط الضعف المعروفة ، على الرغم من أنه بالنظر إلى الدفق الذي لا ينتهي على ما يبدو من Winrar Zero Days ، فإنه ليس ضمانًا كبيرًا.
