骇客近期利用WinRAR漏洞CVE-2023-38831的情况,有越来越频繁的趋势,而且有不少是国家级骇客组织从事相关攻击。攻击者利用该漏洞最重要的原因之一,就是此压缩软体并未内建自动更新机制,使用者若不手动升级新版软体,就会持续曝露在这项漏洞当中,而使得对方有机会成功利用。
最近有研究人员针对骇客组织UAC-0099的攻击行动进行调查,结果发现,这些骇客散布恶意软体的管道,其中一种就是这项WinRAR漏洞。
【攻击与威胁】
对方在攻击行动中可能会利用法院传票的名义,向收信人寄送钓鱼邮件,其中一种邮件挟带WinRAR自解压缩档,收信人若是依照指示执行,就有可能触发伪装成DOCX文件档案的捷径档(LNK),然后执行带有恶意内容的PowerShell程式码,该程式码对2个以Base64编码的大型双位元物件(BLOB)进行解码,并将输出结果写入特定的VBS及DOCX档案,接著此程式码会开启DOCX档案当作诱饵,并建立排程工作:每隔3分钟启动VBS恶意程式LonePage。此恶意程式向C2伺服器发出请求,并下载键盘记录程式、窃资软体和萤幕截图工具,以便在受害电脑进一步发动攻击。 值得留意的是,这些骇客散布LonePage的管道很多,也包含利用HTML应用程式档案(HTA)、ZIP压缩档做为钓鱼信附件的情况。其中,若是收信人使用WinRAR打开ZIP档附件,就会触发该压缩软体的漏洞CVE-2023-38831(CVSS风险评分为7.8)。
骇客先是传送ZIP压缩档,内含伪装成PDF文件的捷径(LNK)档案,使用者一旦开启,电脑就会执行PowerShell从特定网域下载、执行PS1指令码,从而导致电脑被植入Rust打造的窃资软体。此恶意程式可让骇客窃取档案 、收集系统资讯及IP位址等资讯,但无法窃取浏览器、即时通讯软体、加密货币钱包的个资。 12月研究人员又看到另一种攻击手段,那就是透过带有恶意VBA巨集的钓鱼文件档案,执行经过加密处理的PowerShell指令码,最终于受害电脑部署窃资软体,但骇客这次罕见地替恶意程式加上数位签章,声称提供的是思科VPN系统的用户端程式元件AnyConnect Web Helper。而对于攻击者的身分,研究人员认为,这些骇客与巴基斯坦骇客组织Transparent Tribe(APT36)、SideCopy有关。 12月21日Google宣布将会在背景自动执行,侦测使用者密码是否出现外泄的情况,或是浏览器安装的扩充套件是否含有潜在威胁,若是察觉异状,将会在浏览器功能选单显示通知。 此外,若是某些网站长时间没有存取,此功能模组也会自动撤销相关的网站权限,假如不常存取的网站发送大量通知,也会建议用户停用。 【其他新闻】