俄罗斯称利用WinRAR 漏洞的攻击活动与乌克兰有关

据总部位于莫斯科的俄罗网络安全公司F.A.C.C.T.称 ，他们发现了一个与乌克兰有关联的利用漏洞新黑客组织
，该组织至少从今年1月以来就开始运作。攻动乌

F.A.C.C.T.将该组织命名为 PhantomCore，击活并将一种以前未具名的克兰远程访问恶意软件标记为 PhantomRAT
。他们声称黑客利用了Windows文件存档工具WinRAR中的有关一个已知漏洞
 ，该漏洞被鉴定为 CVE-2023-38831 。俄罗

F.A.C.C.T 表示，云计算利用漏洞PhantomCore 使用的攻动乌策略与之前利用该漏洞的攻击不同，黑客是击活通过利用特制的 RAR 存档执行恶意代码，而非之前观察到的克兰 ZIP 文件 。

为了将 PhantomRAT 传送到受害者的有关系统中
，黑客使用了网络钓鱼电子邮件 ，模板下载俄罗其中包含伪装成合同的利用漏洞 PDF 文件
，其中的攻动乌可执行文件只有在受害者使用低于 6.23 版本的 WinRAR 打开 PDF 文件时才会启动。在攻击的最后阶段，感染了PhantomRAT的系统能够从命令和控制（C2）服务器下载文件 ，并将文件从受感染的主机上传到黑客控制的亿华云服务器。

此外
，在攻击活动期间，黑客可以获得包括主机名 、用户名
、本地 IP 地址和操作系统版本在内的信息，以帮助黑客进行进一步的攻击 。

在分析过程中还发现了三个PhantomRAT的测试样本，建站模板根据F.A.C.C.T.的说法 ，这些样本是从乌克兰上传的  。“我们可以有一定程度的信心说，进行这些袭击的攻击者可能位于乌克兰境内，“研究人员说  。

Check Point在调查了该报告和有问题的免费模板漏洞后 ，指出存档中的特定样本仅针对 64 位系统 ，在其他攻击中 ，有效载荷可能会有所不同 ，如果攻击者需要，也可能会同时影响 32 位和 64 位系统。

微软威胁情报战略主管 Sherrod DeGrippo 表示，该公司以前没有观察到 F.A.C.C.T. 认为属于该组织的具体活动 ，但该漏洞已被网络犯罪分子和国家支持的香港云服务器APT组织广泛利用 。

最新评论