利用已知WinRAR零日漏洞，黑客組織SideCopy發起攻擊

利用已知WinRAR零日漏洞，黑客組織SideCopy發起攻擊

IT之家 11 月 13 日消息，軟件開發商 RARLab 于今年 7 月修復了 WinRAR 的零日漏洞 CVE202338831，不過有安全公司 Seqrite 指出，日前依然有多名 SideCopy 黑客組織成員利用這項漏洞，對還未來得及修復的電腦發動攻擊，對這些電腦部署 AllaKore RAT、DRat、Ares RAT 變種等惡意木馬。

黑客先是通過網絡釣魚手法，引誘用戶下載釣魚 PDF 文件，但 PDF 實際上是偽裝的 Windows LNK 可執行文件，一旦受害者打開了 PDF 文件，木馬就會開始分析電腦安裝的.NET 版本、 殺毒軟件信息，然后使用 Base64，以 DLL 側載（DLL Sideloading）方式啟動惡意 DLL 庫。

▲ 釣魚 PDF 文件，圖源 Seqrite

▲ 釣魚 PDF 文件，圖源 Seqrite

據悉，這一 DLL 庫先會開啟釣魚 PDF 文件內容來降低用戶戒心，而在背地里向黑客的域名發送信息，在后臺中下載一系列惡意軟件，進而進行攻擊，黑客可竊取用戶系統信息、錄制用戶鍵盤輸入內容、截圖用戶桌面、上傳下載內容等。

在其中一起攻擊行動里，黑客散播與印度太空研究組織 NSRO 有關的 PDF 文件，文件名是 ACR.pdf 或 ACR_ICR_ECR_Form_for_Endorsement_New_Policy.pdf，Windows 及 Linux 設備點擊后，便會中招。

IT之家經過查詢得知，SideCopy 的攻擊行動最早可追溯自 2019 年，長期以來都是針對南亞國家下手，而 Seqrite 研究人員指出，從今年初他們每個月幾乎都會看到該黑客組織發起新攻擊行動，也陸續發現黑客開始啟用一系列新工具，例如 Double Action RAT、一個以. NET 開發的 RAT 木馬程序，并也開始通過 PowerShell 遠程執行命令。

此外，這些黑客今年積極針對大學生的電腦下手，泄露學生隱私資料，還利用蜜罐陷阱（Honeypot）引誘相關部門人員上當，從而竊取機密情報。