据Securityaffairs网站信息,具备俄罗斯背景的黑客组织UAC-0099正在应用WinRAR中的一个零日破绽(已修复,编号CVE-2023-38831)对乌克兰流传LONEPAGE恶意软件。
实践上,自2022年中旬以来,UAC-0099不时在对乌克兰境外公司的员工启动攻打。直到2023年5月,乌克兰计算机紧急照应团队CERT-UA收回正告,称UAC-0099对乌克兰的国度机构和媒体代表启动了网络特务攻打。
至今,“UAC-0099”又对乌克兰动员了新一轮新攻打。
LONEPAGE恶意软件投放流程
8月初,UAC-0099组织混充利沃夫市法院经常使用ukr.net电子邮件服务向乌克兰用户发送了网络钓鱼邮件。该组织经常使用了不同的感化路径,将HTA、RAR和LNK文件作为附件启动网络钓鱼攻打,最终目的是实现Visual Basic 脚本(VBS)恶意软件LONEPAGE的部署。
一旦部署成功,该组织可以经过这段恶意代码检索乌克兰用户额外的有效载荷,包括键盘记载器和信息窃取工具。
Deep Instinct在颁布的报告中写道,攻打者创立了一个带有良性文件名的紧缩文件,并在文件裁减名前面加了一个空格——例如,“poc.pdf ”。该紧缩文件中蕴含一个同名的文件夹,也包括了那个空格(在反常状况下这是无法能的,由于操作系统不准许创立一个具备相反称号的文件)。在这个文件夹里还有一个附加文件,称号与良性文件相反,称号前面雷同加了一个空格,是一个“.cmd”裁减名。
报告指出,假设用户在一个没有降级补丁的WinRAR版本中关上这个紧缩文件,并尝试关上那个良性文件,实践上电脑会运转那个“.cmd”裁减名的文件。这样,攻打者就能口头恶意命令了。
钻研人员示意,这种攻打技巧甚至能够诈骗那些知晓安保的受益者。不过,对于UAC-0099组织应用WinRAR的破绽CVE-2023-38831这一疑问的概念验证(POC)已在GitHub上颁布,且在2023年8月2日颁布的WinRAR 6.23版本修复了这一破绽。
报告总结道:“‘UAC-0099’经常使用的战术虽便捷,但却十分有效。虽然最后的感化路径不同,但**感化模式是相反的——他们依赖于PowerShell和创立一个口头VBS文件的方案义务,应用WinRAR投放LONEPAGE恶意软件,由于有些人即使在有智能降级的状况下,也不会及时降级他们的软件。而WinRAR须要手动降级,这象征着即使补丁可用,许多人装置的或者也是一个有破绽的WinRAR版本。”