利用已知 WinRAR 零日漏洞，黑客组织 SideCopy 锁定弱安全设备发起攻击

11 月 13 日消息
，利用零日漏洞软件开发商 RARLab 于今年 7 月修复了 WinRAR 的已知零日漏洞 CVE-2023-38831，不过有安全公司 Seqrite 指出
，黑客日前依然有多名 SideCopy 黑客组织成员利用这项漏洞，组织对还未来得及修复的锁定电脑发动攻击 ，对这些电脑部署 AllaKore RAT 、弱安DRat、全设起攻Ares RAT 变种等恶意木马。利用零日漏洞

黑客先是云计算已知通过网络钓鱼手法，引诱用户下载钓鱼 PDF 文件，黑客但 PDF 实际上是组织伪装的 Windows LNK 可执行文件，一旦受害者打开了 PDF 文件 ，锁定木马就会开始分析电脑安装的弱安.NET 版本、 杀毒软件信息，全设起攻然后使用 Base64 ，香港云服务器利用零日漏洞以 DLL 侧载（DLL Side-loading）方式启动恶意 DLL 库
。

▲ 钓鱼 PDF 文件，图源 Seqrite

▲ 钓鱼 PDF 文件，图源 Seqrite

据悉 ，这一 DLL 库先会开启钓鱼 PDF 文件内容来降低用户戒心 ，而在背地里向黑客的域名发送信息，在后台中下载一系列恶意软件，进而进行攻击，黑客可窃取用户系统信息 、模板下载录制用户键盘输入内容、截图用户桌面、上传下载内容等。

在其中一起攻击行动里，黑客散播与印度太空研究组织 NSRO 有关的 PDF 文件 ，文件名是 ACR.pdf 或 ACR_ICR_ECR_Form_for_Endorsement_New_Policy.pdf ，Windows 及 Linux 设备点击后
，便会中招 。亿华云

IT之家经过查询得知 ，SideCopy 的攻击行动最早可追溯自 2019 年 ，长期以来都是针对南亚国家下手，而 Seqrite 研究人员指出，从今年初他们每个月几乎都会看到该黑客组织发起新攻击行动 ，也陆续发现黑客开始启用一系列新工具，例如 Double Action RAT、一个以. NET 开发的源码下载 RAT 木马程序，并也开始通过 PowerShell 远程执行命令。

此外，这些黑客今年积极针对大学生的电脑下手，泄露学生隐私资料，还利用蜜罐陷阱（Honeypot）引诱相关部门人员上当 ，从而窃取机密情报。