UAC-0099的威胁行为者正在利用WinRAR中的一个高危漏洞CVE-2023-38831对乌克兰投放LONEPAGE恶意软件

X0_0X2023-12-26 12:20:26

据Securityaffairs网站消息,UAC-0099的威胁行为者正在利用WinRAR中的一个高危漏洞CVE-2023-38831对乌克兰投放LONEPAGE恶意软件。

实际上,自2022年中旬以来,UAC-0099一直在对乌克兰境外公司的员工进行攻击。


直到2023年5月,乌克兰计算机紧急响应团队CERT-UA发出警告,称UAC-0099对乌克兰的国家机构和媒体代表进行了网络间谍攻击。

至今 ,“UAC-0099”又对乌克兰发起了新一轮新攻击。


LONEPAGE恶意软件投放流程


8月初,UAC-0099组织冒充利沃夫市法院使用ukr.net电子邮件服务向乌克兰用户发送了网络钓鱼邮件。该组织使用了不同的感染途径,将HTA、RAR和LNK文件作为附件进行网络钓鱼攻击,最终目的是完成Visual Basic 脚本(VBS)恶意软件LONEPAGE的部署。


一旦部署成功,该组织可以通过这段恶意代码检索乌克兰用户额外的有效载荷,包括键盘记录器和信息窃取工具。


Deep Instinct在发布的报告中写道,攻击者创建了一个带有良性文件名的压缩文件,并在文件扩展名后面加了一个空格——例如,“poc.pdf ”。该压缩文件中包含一个同名的文件夹,也包括了那个空格(在正常情况下这是不可能的,因为操作系统不允许创建一个具有相同名称的文件)。在这个文件夹里还有一个附加文件,名称与良性文件相同,名称后面同样加了一个空格,是一个“.cmd”扩展名。


报告指出,如果用户在一个没有更新补丁的WinRAR版本中打开这个压缩文件,并尝试打开那个良性文件,实际上电脑会运行那个“.cmd”扩展名的文件。这样,攻击者就能执行恶意命令了。


研究人员表示,这种攻击技巧甚至能够欺骗那些精通安全的受害者。不过,关于UAC-0099组织利用WinRAR的漏洞CVE-2023-38831这一问题的概念验证(POC)已在GitHub上发布,且在2023年8月2日发布的WinRAR 6.23版本修复了这一漏洞。


报告总结道:“‘UAC-0099’使用的战术虽简单,但却十分有效。尽管最初的感染途径不同,但核心感染方式是相同的——他们依赖于PowerShell和创建一个执行VBS文件的计划任务,利用WinRAR投放LONEPAGE恶意软件,因为有些人即使在有自动更新的情况下,也不会及时更新他们的软件。

而WinRAR需要手动更新,这意味着即使补丁可用,许多人安装的可能也是一个有漏洞的WinRAR版本。”


参考来源:https://securityaffairs.com/156381/hacking/uac-0099-apt-exploits-winrar-flaw.html


软件winrar
本作品采用《CC 协议》,转载必须注明作者和本文链接
一个利用最近披露的 WinRAR 软件零日安全漏洞的黑客组织现已被归类为全新的高级持续威胁(APT)。
Zero Day Initiative(ZDI)网站今天发布安全公告,表示旗下安全研究专家 goodbyeselene 在 WinRAR 软件中发现高危漏洞,追踪编号为 CVE-2023-40477,目前该漏洞已经修复。
WinRAR是Windows操作系统中非常常用的压缩文件管理软件,支持RAR和ZIP文件。近日,ptsecurity安全研究人员在WinRAR v5.70试用版中发现一个安全漏洞,该漏洞CVE编号为CVE-2021-35052
WinRAR是一款功能强大的压缩包管理工具,广泛应用于Windows系统的RAR、ZIP等类型的压缩文件的创建与解压中。2021年10月20日,Positive Technologies公司的Psych0tr1a(https://twitter.com/Psych0tr1a)公开披露WinRAR 5.70试用版及以前版本存在远程代码执行漏洞,此漏洞允许攻击者拦截和修改发送给用户的请求,以达到执行远
自发布以来,多个安全社区都开始讨论这些顶级域名所带来的影响,其主要原因是.mov和.zip会被误认为是文件扩展名。比如,邮件中的文案是这样的:一旦用户执行了这个操作,那么它将自动启动具有文件存档模版的 .zip 域名,看起来相当 nice。0x05 结论新推出的顶级域名为攻击者提供了更多网络钓鱼的机会。下面提供一种用于阻止(或隔离)来自 .zip TLD 的电子邮件的 Exchange 传输规则
红蓝对抗-反制
2021-10-22 07:09:44
蜜罐可以理解成互联网上的一台主机,它的作用是诱骗攻击者去对自己进行攻击,然后记录攻击者的攻击细节并生成对应的攻击者画像,是当前的一种比较主流的入侵检测系统也是一种主动防御系统。
随着安全软件对勒索软件加密方法的检测越来越周密,一些勒索软件纷纷开始寻求新的“加密方法”。
WinRAR 中的一个漏洞是用于 Windows 的试用软件文件存档实用程序,远程攻击者可以利用该漏洞来入侵系统。
研究人员在WinRAR中发现一个高危远程代码执行漏洞。Winrar是一款官方免费的rar文件压缩解压软件,支持绝大部分压缩文件格式的解压,用户量超过百万。研究人员在WinRAR软件解压缩过程中发现一个高危漏洞,漏洞CVE编号为CVE-2023-40477,CVSS 评分7.8分。攻击者利用该漏洞可在当前进程环境下执行任意代码。
一个名为Unnam3d R@nsomware的勒索软件通过电子邮件传播,邮件假装来自Adobe,收件人的Adobe Flash Player已过时且需要更新。诱使用户点击虚假Adobe Flash Player更新的链接。勒索软件会解压缩WinRar.exe文件以执行命令,将用户文件移动到加密的RAR文档中。
X0_0X
暂无描述