據 SecurityAffairs 稱,具有俄羅斯背景的黑客組織 UAC-0099 正在利用 WinRAR 中的零日漏洞(已修復,編號 CVE-2023-38831)將 LonePage 惡意軟體傳播到烏克蘭。
事實上,自 2022 年年中以來,UAC-0099 一直在對烏克蘭境外公司的員工進行攻擊。 直到 2023 年 5 月,烏克蘭計算機應急響應小組 CERT-UA 發出警告,UAC-0099 對烏克蘭國家機構和**代表進行了網路間諜攻擊。
至此,“UAC-0099”對烏克蘭發動了新一輪攻擊。
8月初,UAC-0099組織使用了UKR。 冒充利沃夫市法院網路電子郵件服務向烏克蘭使用者傳送網路釣魚訊息。 該組織使用不同的感染途徑,使用 HTA、RAR 和 LNK 檔案作為網路釣魚攻擊的附件,最終目標是完成 Visual Basic 指令碼 (VBS) 惡意軟體 Lonepage 的部署。
一旦成功部署,該組織可以通過這種惡意**從烏克蘭使用者那裡檢索額外的有效載荷,包括鍵盤記錄器和資訊竊取工具。
在已發布的報告中,Deep Instinct 寫道,攻擊者建立了乙個具有良性檔名的壓縮檔案,並在檔案副檔名後新增了乙個空格——例如,“poc.”。pdf ”。zip 檔案包含乙個同名的資料夾以及該空間(這在正常情況下是不可能的,因為作業系統不允許建立具有相同名稱的檔案)。 此資料夾中還有乙個附加檔案,與良性檔案同名,名稱後有相同的空格,即“.”。cmd“副檔名。
該報告指出,如果使用者在尚未更新的 Winrar 版本中開啟此壓縮檔案並嘗試開啟該良性檔案,則計算機實際上將執行該“”。cmd“副檔名。 這允許攻擊者執行惡意命令。
研究人員表示,這種攻擊技術甚至能夠欺騙那些精通安全的人。 但是,在 GitHub 和 WinRAR 6 上發布了有關 UAC-0099 組織利用 WinRAR 漏洞 CVE-2023-38831 的概念證明 (PoC)。 發布於 2023 年 8 月 2 日版本 23 修復了此漏洞。
該報告的結論是,“'UAC-0099'使用的策略簡單但有效。 儘管最初的感染途徑不同,但核心感染方式是相同的——他們依靠 PowerShell 並建立執行 VBS 檔案的計畫任務,利用 WinRar 刪除 LonePage 惡意軟體,因為有些人不會及時更新他們的軟體,即使有自動更新。 Winrar 需要手動更新,這意味著即使有可用的補丁,許多人也可能正在安裝易受攻擊的 Winrar 版本。 ”