Theo BleepingComputer, sau Sandworm và APT28 (còn được gọi là Fancy Bear), một nhóm tin tặc khác được hậu thuẫn bởi chính phủ Nga là APT29 đang lợi dụng lỗ hổng CVE-2023-38831 trong phần mềm nén tệp WinRAR để tấn công mạng.
Trước đây vào đầu năm 2022, cũng từng có những báo cáo về việc WinRAR có chứa lỗ hổng bảo mật và bị lợi dụng để thực hiện các chiến dịch tấn công độc hại. Trong đợt tấn công mới được phát hiện, Hội đồng Quốc phòng và An ninh Quốc gia Ukraine (NDSC) tuyên bố rằng họ đã quan sát thấy nhóm APT29 đang nhắm đến các cơ quan đại sứ quán nước ngoài bằng loạt email tiếp thị giả mạo bán xe BWM.
Dựa trên quan sát, APT29 có thể đang nhắm mục tiêu vào các tổ chức đại sứ quán của Hy Lạp, Azerbaijan, Romania và Ý. Phần mềm độc hại được nhóm này sử dụng có khả năng đánh cắp thông tin, lấy trộm mật khẩu được lưu trong trình duyệt, các tài liệu mật, thông tin hệ thống, …
Lỗ hổng bảo mật CVE-2023-38831 ảnh hưởng đến các phiên bản WinRAR trước 6.23 và cho phép kẻ tấn công tạo các tệp nén có định dạng .RAR và .ZIP có thể thực thi mã độc một cách âm thầm. Lỗ hổng này đã bị khai thác dưới dạng zero-day kể từ tháng 4 bởi các tin tặc nhắm đến các diễn đàn giao dịch chứng khoán và tiền điện tử.
Công ty RAR Labs phát triển WinRAR đã phát hành một bản vá cách đây vài tháng, đồng thời khuyến nghị toàn bộ người dùng nên cài đặt phiên bản này để tránh bị ảnh hưởng bởi làn sóng tấn công của các tin tặc.