俄黑客组织应用WinRAR破绽攻打乌克兰

据Securityaffairs网站信息，具备俄罗斯背景的黑客组织UAC-0099正在应用WinRAR中的一个零日破绽（已修复，编号CVE-2023-38831）对乌克兰流传LONEPAGE恶意软件。

实践上，自2022年中旬以来，UAC-0099不时在对乌克兰境外公司的员工启动攻打。直到2023年5月，乌克兰计算机紧急照应团队CERT-UA收回正告，称UAC-0099对乌克兰的国度机构和媒体代表启动了网络特务攻打。

至今，“UAC-0099”又对乌克兰动员了新一轮新攻打。

LONEPAGE恶意软件投放流程

8月初，UAC-0099组织混充利沃夫市法院经常使用ukr.net电子邮件服务向乌克兰用户发送了网络钓鱼邮件。该组织经常使用了不同的感化路径，将HTA、RAR和LNK文件作为附件启动网络钓鱼攻打，最终目的是实现Visual Basic 脚本（VBS）恶意软件LONEPAGE的部署。

一旦部署成功，该组织可以经过这段恶意代码检索乌克兰用户额外的有效载荷，包括键盘记载器和信息窃取工具。

Deep Instinct在颁布的报告中写道，攻打者创立了一个带有良性文件名的紧缩文件，并在文件裁减名前面加了一个空格——例如，“poc.pdf ”。该紧缩文件中蕴含一个同名的文件夹，也包括了那个空格（在反常状况下这是无法能的，由于操作系统不准许创立一个具备相反称号的文件）。在这个文件夹里还有一个附加文件，称号与良性文件相反，称号前面雷同加了一个空格，是一个“.cmd”裁减名。

报告指出，假设用户在一个没有降级补丁的WinRAR版本中关上这个紧缩文件，并尝试关上那个良性文件，实践上电脑会运转那个“.cmd”裁减名的文件。这样，攻打者就能口头恶意命令了。

钻研人员示意，这种攻打技巧甚至能够诈骗那些知晓安保的受益者。不过，对于UAC-0099组织应用WinRAR的破绽CVE-2023-38831这一疑问的概念验证（POC）已在GitHub上颁布，且在2023年8月2日颁布的WinRAR 6.23版本修复了这一破绽。

报告总结道：“‘UAC-0099’经常使用的战术虽便捷，但却十分有效。虽然最后的感化路径不同，但外围感化模式是相反的——他们依赖于PowerShell和创立一个口头VBS文件的方案义务，应用WinRAR投放LONEPAGE恶意软件，由于有些人即使在有智能降级的状况下，也不会及时降级他们的软件。而WinRAR须要手动降级，这象征着即使补丁可用，许多人装置的或者也是一个有破绽的WinRAR版本。”