针对乌克兰的黑客组织利用 WinRAR 高危漏洞部署间谍程序

最近的网络安全观察中发现，名为 UAC-0099 的黑客团伙与针对乌克兰的持续攻击有关，其中一些攻击利用 WinRAR 软件中的高危漏洞来传播名为 LONEPAGE 的恶意软件。该攻击者的目标是在乌克兰境外公司工作的乌克兰员工。

UAC-0099首次由乌克兰计算机紧急响应小组 (CERT-UA) 于 2023 年 6 月记录，详细说明了其出于间谍动机对国家组织和媒体实体的攻击。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，攻击链利用包含 HTA、RAR 和 LNK 文件附件的网络钓鱼消息，以此来部署LONEPAGE，LONEPAGE是一种 Visual Basic Sc​​ript (VBS) 恶意软件，能够联系命令和控制 (C2) 服务器来检索其他有效负载，例如如键盘记录程序、窃取程序和屏幕截图恶意软件。

安全研究人员最新的分析表明，HTA 附件的使用只是三个不同感染链之一，另外两个利用自解压 (SFX) 档案和 Bobby-trapped ZIP 文件。ZIP文件利用WinRAR漏洞（CVE-2023-38831，CVSS评分：7.8）来分发LONEPAGE恶意软件。

在前者中，SFX 文件包含一个 LNK 快捷方式，该快捷方式伪装成法院传票的 DOCX 文件，同时使用 Microsoft WordPad 的图标来诱使受害者打开它，从而导致执行恶意 PowerShell 代码，从而释放 LONEPAGE 恶意软件。

UAC-0099使用的策略很简单，但很有效，尽管初始感染媒介不同，但核心感染是相同的，它们依赖于 PowerShell 以及创建执行 VBS 文件的计划任务。