11 月 13 日消息，軟件開發(fā)商 RARLab 于今年 7 月修復(fù)了 WinRAR 的零日漏洞 CVE-2023-38831，不過有安全公司 Seqrite 指出，日前依然有多名 SideCopy 黑客組織成員利用這項(xiàng)漏洞，對(duì)還未來得及修復(fù)的電腦發(fā)動(dòng)攻擊，對(duì)這些電腦部署 AllaKore RAT、DRat、Ares RAT 變種等惡意木馬。

黑客先是通過網(wǎng)絡(luò)釣魚手法，引誘用戶下載釣魚 PDF 文件，但 PDF 實(shí)際上是偽裝的 Windows LNK 可執(zhí)行文件，一旦受害者打開了 PDF 文件，木馬就會(huì)開始分析電腦安裝的.NET 版本、 殺毒軟件信息，然后使用 Base64，以 DLL 側(cè)載（DLL Side-loading）方式啟動(dòng)惡意 DLL 庫(kù)。

據(jù)悉，這一 DLL 庫(kù)先會(huì)開啟釣魚 PDF 文件內(nèi)容來降低用戶戒心，而在背地里向黑客的域名發(fā)送信息，在后臺(tái)中下載一系列惡意軟件，進(jìn)而進(jìn)行攻擊，黑客可竊取用戶系統(tǒng)信息、錄制用戶鍵盤輸入內(nèi)容、截圖用戶桌面、上傳下載內(nèi)容等。

在其中一起攻擊行動(dòng)里，黑客散播與印度太空研究組織 NSRO 有關(guān)的 PDF 文件，文件名是 ACR.pdf 或 ACR_ICR_ECR_Form_for_Endorsement_New_Policy.pdf，Windows 及 Linux 設(shè)備點(diǎn)擊后，便會(huì)中招。

經(jīng)過查詢得知，SideCopy 的攻擊行動(dòng)最早可追溯自 2019 年，長(zhǎng)期以來都是針對(duì)南亞國(guó)家下手，而 Seqrite 研究人員指出，從今年初他們每個(gè)月幾乎都會(huì)看到該黑客組織發(fā)起新攻擊行動(dòng)，也陸續(xù)發(fā)現(xiàn)黑客開始啟用一系列新工具，例如 Double Action RAT、一個(gè)以. NET 開發(fā)的 RAT 木馬程序，并也開始通過 PowerShell 遠(yuǎn)程執(zhí)行命令。

此外，這些黑客今年積極針對(duì)大學(xué)生的電腦下手，泄露學(xué)生隱私資料，還利用蜜罐陷阱（Honeypot）引誘相關(guān)部門人員上當(dāng)，從而竊取機(jī)密情報(bào)。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，所有文章均包含本聲明。

總結(jié)

以上是生活随笔為你收集整理的利用已知 WinRAR 零日漏洞，黑客组织 SideCopy 锁定弱安全设备发起攻击的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。