Computer Security Known Cybergang Exploits Old WinRAR Flaw to Attack...

Known Cybergang Exploits Old WinRAR Flaw to Attack Windows Enterprise Customers

WinRAR的利用漏洞攻擊 14個月前,CheckPoint的研究人員遇到了流行的WinRar壓縮工具使用的易受攻擊的動態鏈接庫(DLL)。該DLL允許使用".ace"壓縮格式存檔的惡意文件在WinRAR提取時進入目標計算機。這個漏洞立即讓5億WinRAR用戶暴露在潛在的攻擊之下,這個漏洞非常嚴重,以至於程序供應商發布了該軟件的更新版本,不再支持 .ace 文件提取。然而,他們從未發布當時5.61版本(及更早版本)的補丁,這意味著大量WinRAR用戶至今仍處於危險之中。

cybergang漏洞的快速事實:

  • 一個名為MuddyWater的網絡犯罪團伙開發了這個漏洞。
  • 最新的受害者是提供衛星和通信服務的企業Microsoft客戶。
  • 威脅來自一系列受到攻擊的".ace"存檔文件,能夠在WinRar提取後將惡意軟件植入PC。

WinRAR缺陷的最新受害者

從最近針對提供衛星和通信服務的企業Microsoft Windows客戶的攻擊來看,該漏洞仍然非常活躍。在2019年3月,Microsoft的Office 365高級威脅防護(ATP)部門在許多屬於企業客戶端的基於Windows 10 Enterprise的計算機上檢測到一組惡意.ace文件。事實證明,有問題的數據利用了CVE-2018-20250漏洞,即與受損的.dll文件相關的漏洞,該文件負責從所有WinRAR版本欄5.70(當前版本)中提取.ace檔案。雖然WinRAR在一年多前發布了v5.70,但很多用戶還沒有更新到新的.ace-free版本。

Prime Suspect - 一個著名的APT集團

根據微軟的說法,MuddyWater是一個高級持續威脅(APT)團隊,他發起了2019年3月的攻擊。 MuddyWater的黑客因向美國,歐洲和中東的公共實體和商業組織發送魚叉式網絡釣魚電子郵件而臭名昭著。到目前為止,MuddyWater團伙在約旦,土耳其,沙特阿拉伯,阿塞拜疆,伊拉克,巴基斯坦和阿富汗進行了攻擊,僅舉幾例。每次干預都包含嵌入垃圾郵件的文檔附件中的宏惡意軟件。打開附加文件導致請求啟用宏,而後者允許遠程執行代碼。

這個時間雖然有點不同

新廣告系列似乎採用了略微修改的方法。騙子不是種植帶有惡意軟件的Word文件,而是附加一個無宏文檔。後者包含一個OneDrive URL,當打開時,會刪除包含另一個Word文件的ace存檔。與原始附件不同,新文檔中包含大量惡意宏。如果毫無戒心的收件人感染成功:

  1. 在提示時啟用宏。
  2. 接受重新啟動PC以修復"丟失的.dll文件"。

執行前者會將惡意軟件負載(名為dropbox.exe的文件)帶到Windows Startup文件夾中. 執行後者會在系統啟動期間加載惡意軟件,從而使C&C服務器上的攻擊者可以遠程訪問相應的計算機。

全球範圍內WinRAR用戶的數量龐大,對於迅速過渡到當前版本5.70提出了挑戰。不幸的是,它仍然是流通中唯一不受CVE-2018-20250漏洞影響的WinRAR版本。

加載中...