LONEPAGE：使用 WinRAR 窃取数据的新后门

网络犯罪组织 UAC-0099 继续攻击乌克兰，利用WinRAR中的漏洞传播 LONEPAGE 恶意软件。

据网络安全公司 Deep Instinct 称，攻击的主要目标是在国外工作的乌克兰员工。UAC-0099 组于 2023 年 6 月首次由乌克兰计算机应急响应小组 (CERT-UA) 发现。值得注意的是，这些攻击是针对政府组织和媒体的，目的是从事间谍活动。UAC-0099 组织还在 2022 年至 2023 年期间获得了对乌克兰数十台计算机的未经授权的远程访问。

这些攻击是使用包含 HTA、RAR 和 LNK 附件的网络钓鱼消息进行的，这会导致部署 LONEPAGE，这是一种 Visual Basic Script (VBS) 恶意软件，能够与命令和控制服务器通信以获取其他恶意软件，例如键盘记录程序、信息窃取程序和截屏程序。

UAC- 0099 攻击链

Deep Instinct 的最新分析表明，利用 HTA 附件只是三种不同感染方法之一。另外两个包括自解压 (SFX) 档案和带有诱饵文档的 ZIP 档案。LONEPAGE 分发 ZIP 文件利用 WinRAR 漏洞（ CVE-2023-38831 ，CVSS 评分：7.8），该漏洞允许攻击者在用户尝试查看 ZIP 存档中的安全文件时执行任意代码。

在一种情况下，SFX 文件包含伪装成传票 DOCX 文件的 LNK 快捷方式，并使用 Microsoft 写字板图标来诱骗受害者打开它。该攻击导致恶意 PowerShell 代码的执行和 LONEPAGE 的设置。

另一种攻击使用特制的 ZIP 存档，该存档容易受到 CVE-2023-38831 的攻击。Deep Instinct 于 2023 年 8 月 5 日发现了由 UAC-0099 创建的两个此类文件，即 WinRAR 开发人员发布该漏洞修复程序三天后。

根据 Deep Instinct 的说法，UAC-0099 使用的策略简单但有效。尽管初始感染的方法不同，但感染的基础仍然相同：它基于使用 PowerShell 并创建执行 VBS 文件的计划任务。

使用复杂的感染方法，包括流行的 WinRAR 软件中的漏洞，展示了 UAC-0099 组织的高水平准备。公共和私营部门保持警惕并加强安全措施的必要性变得越来越明显。这一事件凸显了不断更新和加强防御系统以防止未来网络攻击和保护国家数字基础设施的重要性。

转自安全客，原文链接：https://www.anquanke.com/post/id/292171