Known Cybergang Exploits Old WinRAR Flaw to Attack Windows Enterprise Customers

14个月前，CheckPoint的研究人员遇到了流行的WinRar压缩工具使用的易受攻击的动态链接库（DLL）。该DLL允许使用".ace"压缩格式存档的恶意文件在WinRAR提取时进入目标计算机。这个漏洞立即让5亿WinRAR用户暴露在潜在的攻击之下，这个漏洞非常严重，以至于程序供应商发布了该软件的更新版本，不再支持 .ace 文件提取。然而，他们从未发布当时5.61版本（及更早版本）的补丁，这意味着大量WinRAR用户至今仍处于危险之中。

cybergang漏洞的快速事实：

• 一个名为MuddyWater的网络犯罪团伙开发了这个漏洞。
• 最新的受害者是提供卫星和通信服务的企业Microsoft客户。
• 威胁来自一系列受到攻击的".ace"存档文件，能够在WinRar提取后将恶意软件植入PC。

WinRAR缺陷的最新受害者

从最近针对提供卫星和通信服务的企业Microsoft Windows客户的攻击来看，该漏洞仍然非常活跃。在2019年3月，Microsoft的Office 365高级威胁防护（ATP）部门在许多属于企业客户端的基于Windows 10 Enterprise的计算机上检测到一组恶意.ace文件。事实证明，有问题的数据利用了CVE-2018-20250漏洞，即与受损的.dll文件相关的漏洞，该文件负责从所有WinRAR版本栏5.70（当前版本）中提取.ace档案。虽然WinRAR在一年多前发布了v5.70，但很多用户还没有更新到新的.ace-free版本。

Prime Suspect - 一个着名的APT集团

根据微软的说法，MuddyWater是一个高级持续威胁（APT）团队，他发起了2019年3月的攻击。 MuddyWater的黑客因向美国，欧洲和中东的公共实体和商业组织发送鱼叉式网络钓鱼电子邮件而臭名昭着。到目前为止，MuddyWater团伙在约旦，土耳其，沙特阿拉伯，阿塞拜疆，伊拉克，巴基斯坦和阿富汗进行了攻击，仅举几例。每次干预都包含嵌入垃圾邮件的文档附件中的宏恶意软件。打开附加文件导致请求启用宏，而后者允许远程执行代码。

这个时间虽然有点不同

新广告系列似乎采用了略微修改的方法。骗子不是种植带有恶意软件的Word文件，而是附加一个无宏文档。后者包含一个OneDrive URL，当打开时，会删除包含另一个Word文件的ace存档。与原始附件不同，新文档中包含大量恶意宏。如果毫无戒心的收件人感染成功：

1. 在提示时启用宏。
2. 接受重新启动PC以修复"丢失的.dll文件"。

执行前者会将恶意软件负载（名为dropbox.exe的文件）带到Windows Startup文件夹中. 执行后者会在系统启动期间加载恶意软件，从而使C＆C服务器上的攻击者可以远程访问相应的计算机。

全球范围内WinRAR用户的数量庞大，对于迅速过渡到当前版本5.70提出了挑战。不幸的是，它仍然是流通中唯一不受CVE-2018-20250漏洞影响的WinRAR版本。