根据报道,黑客组织 UAC-0099 运用网络钓鱼消息,携带了包含 HTA、RAR 和 LNK 文件附件,然后通过这些附件部署了一种名为 LONEPAGE 的恶意软件,该恶意软件是一种基于 Visual Basic 脚本 VBS 的恶意程序。一旦激活,LONEPAGE会与命令和控制(C2)服务器建立联系,从而使黑客能够记录键盘敲击、窃取程序和屏幕截图等操作。报道称UAC-0099利用编号为CVE-2023-38831(CVSS 评分:7.8)的WinRAR 漏洞,分发 LONEPAGE恶意脚本。
除了使用 HTA 附件的方式,UAC-0099 黑客组织还通过自解压(SFX)和 ZIP 格式来传播恶意软件。在 SFX 文件中,他们携带了 LNK 快捷方式,这些快捷方式伪装成法院传票的 DOCX 文件,使用了 Microsoft 写字板的图标,以引诱受害者打开附件。这种精心设计的伪装方式旨在欺骗用户,使他们无意中打开了恶意文件。
另一个攻击序列采用了一个特别构建的 ZIP 存档,在目前截获的恶意样本中显示的日期为 2023 年 8 月 5 日。值得注意的是,这个日期恰好是 WinRAR 维护者发布 CVE-2023-38831 补丁的三天后,这表明黑客组织 UAC-0099 利用了漏洞修复之前的时间窗口来传播恶意软件。
长按添加关注,为您保驾护航!
原文始发于微信公众号(网安百色):黑客利用 WinRAR 漏洞,分发 LONEPAGE 恶意脚本
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论