最近的网络安全观察中发现,名为 UAC-0099 的黑客团伙与针对乌克兰的持续攻击有关,其中一些攻击利用 WinRAR 软件中的高危漏洞来传播名为 LONEPAGE 的恶意软件。该攻击者的目标是在乌克兰境外公司工作的乌克兰员工。
UAC-0099首次由乌克兰计算机紧急响应小组 (CERT-UA) 于 2023 年 6 月记录,详细说明了其出于间谍动机对国家组织和媒体实体的攻击。
根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,攻击链利用包含 HTA、RAR 和 LNK 文件附件的网络钓鱼消息,以此来部署LONEPAGE,LONEPAGE是一种 Visual Basic Script (VBS) 恶意软件,能够联系命令和控制 (C2) 服务器来检索其他有效负载,例如如键盘记录程序、窃取程序和屏幕截图恶意软件。
安全研究人员最新的分析表明,HTA 附件的使用只是三个不同感染链之一,另外两个利用自解压 (SFX) 档案和 Bobby-trapped ZIP 文件。ZIP文件利用WinRAR漏洞(CVE-2023-38831,CVSS评分:7.8)来分发LONEPAGE恶意软件。
在前者中,SFX 文件包含一个 LNK 快捷方式,该快捷方式伪装成法院传票的 DOCX 文件,同时使用 Microsoft WordPad 的图标来诱使受害者打开它,从而导致执行恶意 PowerShell 代码,从而释放 LONEPAGE 恶意软件。
UAC-0099使用的策略很简单,但很有效,尽管初始感染媒介不同,但核心感染是相同的,它们依赖于 PowerShell 以及创建执行 VBS 文件的计划任务。
极牛网精选文章《针对乌克兰的黑客组织利用 WinRAR 高危漏洞部署间谍程序》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/26981.html