利用已知 WinRAR 零日漏洞，黑客組織SideCopy發(fā)起攻擊

來源：互聯(lián)網(wǎng)   發(fā)布日期：2023-11-13 19:04:54   瀏覽：21794次  

IT之家 11 月 13 日消息，軟件開發(fā)商 RARLab 于今年 7 月修復(fù)了 WinRAR 的零日漏洞 CVE-2023-38831，不過有安全公司 Seqrite 指出，日前依然有多名 SideCopy 黑客組織成員利用這項(xiàng)漏洞，對(duì)還未來得及修復(fù)的電腦發(fā)動(dòng)攻擊，對(duì)這些電腦部署 AllaKore RAT、DRat、Ares RAT 變種等惡意木馬。

黑客先是通過網(wǎng)絡(luò)釣魚手法，引誘用戶下載釣魚PDF文件，但 PDF 實(shí)際上是偽裝的Windows LNK可執(zhí)行文件，一旦受害者打開了 PDF 文件，木馬就會(huì)開始分析電腦安裝的.NET 版本、殺毒軟件信息，然后使用 Base64，以 DLL 側(cè)載（DLL Side-loading）方式啟動(dòng)惡意 DLL庫。

▲ 釣魚PDF文件，圖源Seqrite

▲ 釣魚PDF文件，圖源Seqrite

據(jù)悉，這一 DLL 庫先會(huì)開啟釣魚 PDF 文件內(nèi)容來降低用戶戒心，而在背地里向黑客的域名發(fā)送信息，在后臺(tái)中下載一系列惡意軟件，進(jìn)而進(jìn)行攻擊，黑客可竊取用戶系統(tǒng)信息、錄制用戶鍵盤輸入內(nèi)容、截圖用戶桌面、上傳下載內(nèi)容等。

在其中一起攻擊行動(dòng)里，黑客散播與印度太空研究組織 NSRO 有關(guān)的 PDF 文件，文件名是 ACR.pdf 或 ACR_ICR_ECR_Form_for_Endorsement_New_Policy.pdf，Windows及Linux設(shè)備點(diǎn)擊后，便會(huì)中招。

IT之家經(jīng)過查詢得知，SideCopy 的攻擊行動(dòng)最早可追溯自 2019 年，長期以來都是針對(duì)南亞國家下手，而 Seqrite 研究人員指出，從今年初他們每個(gè)月幾乎都會(huì)看到該黑客組織發(fā)起新攻擊行動(dòng)，也陸續(xù)發(fā)現(xiàn)黑客開始啟用一系列新工具，例如 Double Action RAT、一個(gè)以. NET 開發(fā)的 RAT 木馬程序，并也開始通過 PowerShell 遠(yuǎn)程執(zhí)行命令。

此外，這些黑客今年積極針對(duì)大學(xué)生的電腦下手，泄露學(xué)生隱私資料，還利用蜜罐陷阱（Honeypot）引誘相關(guān)部門人員上當(dāng)，從而竊取機(jī)密情報(bào)。

贊助本站