俄罗斯公司遭受网络攻击,WinRAR 漏洞被利用
关键要点
俄罗斯多家公司已遭遇网络入侵,利用了已修复的 WinRAR 漏洞 CVE202338831。这些攻击与名为 PhantomCore 的网络间谍活动有关,且与乌克兰有联系。攻击开始于通过网络钓鱼邮件发送伪造合同的 PDF 文件和受密码保护的 RAR 压缩档案,导致恶意软件 PhantomRAT 的感染。PhantomRAT 允许攻击者进行数据外泄,三份测试样本显示其源自乌克兰,但大部分西方网络安全公司无法验证这种归属。研究人员表示,PhantomRAT 的活动性质已被确认,但微软并未识别与 PhantomCore 相关的攻击活动。最近,数家俄罗斯公司受到网络攻击,攻击者利用了已被修复的 WinRAR 漏洞,特征标识为 CVE202338831。这些攻击由与乌克兰有关的 PhantomCore 网络间谍组织发起,报道来自网络安全公司 Recorded Future 的新闻网站 The Record。
水母npv加速攻击方式为通过网络钓鱼邮件传播包含伪造合同的 PDF 文档和受密码保护的 RAR 压缩档案。当用户执行这些文件时,即可传送 PhantomRAT 远程访问恶意软件,允许攻击者进行数据外泄。据来自俄罗斯 GroupIB 分支机构 FACCT 的报告指出,发现了三份来自乌克兰的 PhantomRAT 测试样本。然而,由于俄乌冲突后大多数西方网络安全公司与俄罗斯网络断开联系,导致无法验证这一归属。
Check Point 的研究人员确认了 PhantomRAT 的 operational 性质。然而,根据微软威胁情报战略总监 Sherrod DeGrippo 的说法,微软尚未识别出与 PhantomCore 相关的攻击活动。他指出,使用 RAR 压缩文件进行恶意软件传播在以往的攻击活动中已有先例。
相关链接: CVE202338831 详细信息
