Ο παράγοντας απειλής UAC-0099 συνδέεται με επανειλημμένες επιθέσεις κατά της Ουκρανίας, εκμεταλλευόμενο ευπάθειες στο λογισμικό WinRAR.
Η ανάλυση της εταιρείας κυβερνοασφάλειας Deep Instinct αποκαλύπτει τη χρήση του κακόβουλου λογισμικού LONEPAGE, το οποίο εκμεταλλεύεται τρεις διαφορετικές μεθόδους μόλυνσης. Οι επιθέσεις στοχεύουν υπαλλήλους στην Ουκρανία μέσω phishing email που περιέχουν συνημμένα αρχεία HTA, RAR και LNK.
Διαβάστε περισσότερα: JaskaGO: Ένα νέο malware που στοχεύει Windows και MacOS
Ο UAC-0099 έχει καταφέρει να αποκτήσει απομακρυσμένη πρόσβαση σε πολλούς υπολογιστές στην Ουκρανία. Η ανακάλυψη του ελαττώματος στο WinRAR (CVE-2023-38831) επιτρέπει την εκμετάλλευση του LONEPAGE, προκαλώντας ανησυχία σε θέματα κυβερνοασφάλειας.
Η επόμενη ακολουθία επίθεσης χρησιμοποιεί ένα ειδικά διαμορφωμένο αρχείο ZIP που είναι ευάλωτο στο CVE-2023-38831. Το Deep Instinct ανιχνεύει δύο από αυτά τα αρχεία που δημιουργήθηκαν από το UAC-0099 στις 5 Αυγούστου 2023, τρεις ημέρες μετά την έκδοση μιας ενημέρωσης κώδικα από τους συντηρητές του WinRAR για το σφάλμα.
“Οι τακτικές που χρησιμοποιεί το «UAC-0099» είναι απλές, αλλά αποτελεσματικές”, δήλωσε η εταιρεία. Παρά τους διάφορους αρχικούς φορείς μόλυνσης, η βασική μόλυνση παραμένει η ίδια – βασίζεται στο PowerShell και στη δημιουργία μιας προγραμματισμένης εργασίας που εκτελεί ένα αρχείο VBS.
Διαβάστε ακόμη: 8220 Gang χρησιμοποιεί την ευπάθεια του Oracle WebLogic Server για τη διάδοση malware
Οι εξελίξεις έρχονται καθώς η CERT-UA εκδίδει προειδοποίηση για ένα νέο κύμα απάτης με email phishing, που προσποιούνται “εκκρεμή τέλη της Kyivstar”. Ο σκοπός τους είναι η διάδοση ενός trojan απομακρυσμένης πρόσβασης, γνωστού ως Remcos RAT.
Πηγή: thehackernews.com
