据 SecurityAffairs 称,具有俄罗斯背景的黑客组织 UAC-0099 正在利用 WinRAR 中的零日漏洞(已修复,编号 CVE-2023-38831)将 LonePage 恶意软件传播到乌克兰。
事实上,自 2022 年年中以来,UAC-0099 一直在对乌克兰境外公司的员工进行攻击。 直到 2023 年 5 月,乌克兰计算机应急响应小组 CERT-UA 发出警告,UAC-0099 对乌克兰国家机构和**代表进行了网络间谍攻击。
至此,“UAC-0099”对乌克兰发动了新一轮攻击。
8月初,UAC-0099组织使用了UKR。 冒充利沃夫市法院网络电子邮件服务向乌克兰用户发送网络钓鱼消息。 该组织使用不同的感染途径,使用 HTA、RAR 和 LNK 文件作为网络钓鱼攻击的附件,最终目标是完成 Visual Basic 脚本 (VBS) 恶意软件 Lonepage 的部署。
一旦成功部署,该组织可以通过这种恶意**从乌克兰用户那里检索额外的有效载荷,包括键盘记录器和信息窃取工具。
在已发布的报告中,Deep Instinct 写道,攻击者创建了一个具有良性文件名的压缩文件,并在文件扩展名后添加了一个空格——例如,“poc.”。pdf ”。zip 文件包含一个同名的文件夹以及该空间(这在正常情况下是不可能的,因为操作系统不允许创建具有相同名称的文件)。 此文件夹中还有一个附加文件,与良性文件同名,名称后有相同的空格,即“.”。cmd“扩展名。
该报告指出,如果用户在尚未更新的 Winrar 版本中打开此压缩文件并尝试打开该良性文件,则计算机实际上将运行该“”。cmd“扩展名。 这允许攻击者执行恶意命令。
研究人员表示,这种攻击技术甚至能够欺骗那些精通安全的人。 但是,在 GitHub 和 WinRAR 6 上发布了有关 UAC-0099 组织利用 WinRAR 漏洞 CVE-2023-38831 的概念证明 (PoC)。 发布于 2023 年 8 月 2 日版本 23 修复了此漏洞。
该报告的结论是,“'UAC-0099'使用的策略简单但有效。 尽管最初的感染途径不同,但核心感染方式是相同的——他们依靠 PowerShell 并创建执行 VBS 文件的计划任务,利用 WinRar 删除 LonePage 恶意软件,因为有些人不会及时更新他们的软件,即使有自动更新。 Winrar 需要手动更新,这意味着即使有可用的补丁,许多人也可能正在安装易受攻击的 Winrar 版本。 ”