俄罗斯称利用WinRAR 漏洞的攻击活动与乌克兰有关

安全
据总部位于莫斯科的网络安全公司F.A.C.C.T.称,他们发现了一个与乌克兰有关联的新黑客组织,该组织至少从今年1月以来就开始运作。

据总部位于莫斯科的网络安全公司F.A.C.C.T.称,他们发现了一个与乌克兰有关联的新黑客组织,该组织至少从今年1月以来就开始运作。

F.A.C.C.T.将该组织命名为 PhantomCore,并将一种以前未具名的远程访问恶意软件标记为 PhantomRAT。他们声称黑客利用了Windows文件存档工具WinRAR中的一个已知漏洞,该漏洞被鉴定为 CVE-2023-38831。

F.A.C.C.T 表示,PhantomCore 使用的策略与之前利用该漏洞的攻击不同,黑客是通过利用特制的 RAR 存档执行恶意代码,而非之前观察到的 ZIP 文件。

为了将 PhantomRAT 传送到受害者的系统中,黑客使用了网络钓鱼电子邮件,其中包含伪装成合同的 PDF 文件,其中的可执行文件只有在受害者使用低于 6.23 版本的 WinRAR 打开 PDF 文件时才会启动。在攻击的最后阶段,感染了PhantomRAT的系统能够从命令和控制(C2)服务器下载文件,并将文件从受感染的主机上传到黑客控制的服务器。

此外,在攻击活动期间,黑客可以获得包括主机名、用户名、本地 IP 地址和操作系统版本在内的信息,以帮助黑客进行进一步的攻击。

在分析过程中还发现了三个PhantomRAT的测试样本,根据F.A.C.C.T.的说法,这些样本是从乌克兰上传的。“我们可以有一定程度的信心说,进行这些袭击的攻击者可能位于乌克兰境内,“研究人员说。

Check Point在调查了该报告和有问题的漏洞后,指出存档中的特定样本仅针对 64 位系统,在其他攻击中,有效载荷可能会有所不同,如果攻击者需要,也可能会同时影响 32 位和 64 位系统。

微软威胁情报战略主管 Sherrod DeGrippo 表示,该公司以前没有观察到 F.A.C.C.T. 认为属于该组织的具体活动,但该漏洞已被网络犯罪分子和国家支持的APT组织广泛利用。

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2023-12-26 16:29:15

2023-12-26 12:09:32

2021-05-12 15:54:01

攻击黑客勒索软件

2022-03-21 11:58:51

DDoS攻击钓鱼攻击钓鱼网站

2022-03-01 09:03:18

黑客网络攻击

2022-05-07 13:53:05

黑客网络攻击

2014-10-15 14:22:11

2012-02-29 10:14:28

2022-04-18 13:48:34

信息安全俄罗斯黑客

2023-12-05 15:59:19

2022-03-08 08:55:35

黑客网络工兵

2022-11-29 14:59:56

2022-03-04 11:47:40

乌克兰网站网络安全卫星系统

2024-01-05 19:45:25

2022-02-21 15:12:41

DDoS攻击黑客

2020-12-21 11:50:23

网络安全攻击互联网

2022-04-10 23:48:32

勒索软件安全俄罗斯

2022-03-01 00:13:35

网络IT

2016-08-12 09:33:38

2021-06-01 09:51:45

网络安全数据技术
点赞
收藏

51CTO技术栈公众号