IT之家 11 月 13 日消息,軟件開(kāi)發(fā)商 RARLab 于今年 7 月修復(fù)了 WinRAR 的零日漏洞 CVE-2023-38831,不過(guò)有安全公司 Seqrite 指出,日前依然有多名 SideCopy 黑客組織成員利用這項(xiàng)漏洞,對(duì)還未來(lái)得及修復(fù)的電腦發(fā)動(dòng)攻擊,對(duì)這些電腦部署 AllaKore RAT、DRat、Ares RAT 變種等惡意木馬。
黑客先是通過(guò)網(wǎng)絡(luò)釣魚(yú)手法,引誘用戶下載釣魚(yú)PDF文件,但 PDF 實(shí)際上是偽裝的Windows LNK可執(zhí)行文件,一旦受害者打開(kāi)了 PDF 文件,木馬就會(huì)開(kāi)始分析電腦安裝的.NET 版本、殺毒軟件信息,然后使用 Base64,以 DLL 側(cè)載(DLL Side-loading)方式啟動(dòng)惡意 DLL庫(kù)。
▲ 釣魚(yú)PDF文件,圖源Seqrite
▲ 釣魚(yú)PDF文件,圖源Seqrite
據(jù)悉,這一 DLL 庫(kù)先會(huì)開(kāi)啟釣魚(yú) PDF 文件內(nèi)容來(lái)降低用戶戒心,而在背地里向黑客的域名發(fā)送信息,在后臺(tái)中下載一系列惡意軟件,進(jìn)而進(jìn)行攻擊,黑客可竊取用戶系統(tǒng)信息、錄制用戶鍵盤(pán)輸入內(nèi)容、截圖用戶桌面、上傳下載內(nèi)容等。
在其中一起攻擊行動(dòng)里,黑客散播與印度太空研究組織 NSRO 有關(guān)的 PDF 文件,文件名是 ACR.pdf 或 ACR_ICR_ECR_Form_for_Endorsement_New_Policy.pdf,Windows及Linux設(shè)備點(diǎn)擊后,便會(huì)中招。
IT之家經(jīng)過(guò)查詢得知,SideCopy 的攻擊行動(dòng)最早可追溯自 2019 年,長(zhǎng)期以來(lái)都是針對(duì)南亞國(guó)家下手,而 Seqrite 研究人員指出,從今年初他們每個(gè)月幾乎都會(huì)看到該黑客組織發(fā)起新攻擊行動(dòng),也陸續(xù)發(fā)現(xiàn)黑客開(kāi)始啟用一系列新工具,例如 Double Action RAT、一個(gè)以. NET 開(kāi)發(fā)的 RAT 木馬程序,并也開(kāi)始通過(guò) PowerShell 遠(yuǎn)程執(zhí)行命令。
此外,這些黑客今年積極針對(duì)大學(xué)生的電腦下手,泄露學(xué)生隱私資料,還利用蜜罐陷阱(Honeypot)引誘相關(guān)部門(mén)人員上當(dāng),從而竊取機(jī)密情報(bào)。