กลุ่มภัยคุกคาม UAC-0099 ใช้ช่องโหว่ WinRAR เก่า ในการโจมตีทางไซเบอร์ครั้งใหม่ในยูเครน

541/66 (IT) ประจำวันจันทร์ที่ 25 ธันวาคม 2566

นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Deep Instinct Lab ได้เปิดเผยการโจมตีทางไซเบอร์ชุดใหม่ซึ่งดำเนินการโดย กลุ่มภัยคุกคาม UAC-0099 ซึ่งมุ่งเป้าโจมตีไปที่ชาวยูเครนโดยเฉพาะ การโจมตีเหล่านี้ใช้กลยุทธ์ทั่วไป เช่น การใช้หมายศาลปลอมเพื่อล่อลวงเป้าหมายให้ทำการเปิดใช้ไฟล์ที่เป็นอันตราย กิจกรรมของกลุ่มนี้ได้รับการเปิดเผยครั้งแรกในเดือนพฤษภาคม 2023 ผ่านทาง CERT ของยูเครน และขณะนี้ Deep Instinct ได้ให้ข้อมูลเชิงลึกพิเศษเกี่ยวกับการโจมตีครั้งล่าสุดของพวกเขาแล้ว    

โดยเมื่อวันที่ 21 ธันวาคม 2023 กลุ่ม UAC-0099 ใช้อีเมลหลอกลวงเพื่อแอบอ้างเป็นศาลเมืองลวีฟผ่านทางอีเมล ukr.net โดยมีเป้าหมายคือพนักงานชาวยูเครนที่ทำงานนอกประเทศยูเครน อีเมลหลอกลวงมีไฟล์ปฏิบัติการที่สร้างโดย WinRAR ชื่อ docx.lnk แม้ว่าจะดูเหมือนเป็นไฟล์เอกสารทั่วไป แต่เป็นทางลัด LNK ที่ออกแบบมาเพื่อเรียกใช้ PowerShell ด้วยเนื้อหาที่เป็นอันตราย  โดยกลุ่มภัยคุกคามดังกล่าวใช้ประโยชน์จากช่องโหว่ WinRAR หมาเลข CVE-2023-38831 จากการระบุโดย Group-IB ช่องโหว่นี้เกิดขึ้นจากวิธีที่ WinRAR ประมวลผลไฟล์ ZIP โดยกำหนดให้ผู้ใช้โต้ตอบกับไฟล์ ZIP ที่จัดทำขึ้นเป็นพิเศษเพื่อการหาประโยชน์ ผู้โจมตีสร้างไฟล์เก็บถาวรที่ดูเหมือนไม่เป็นอันตรายโดยต่อท้ายช่องว่างหลังนามสกุลไฟล์ ไฟล์เก็บถาวรนี้ประกอบด้วยโฟลเดอร์ที่มีชื่อเหมือนกันและไฟล์พิเศษที่มีนามสกุล “.cmd” เมื่อผู้ใช้ดับเบิลคลิกที่ไฟล์ที่ไม่เป็นอันตราย ไฟล์ “cmd” ที่เกี่ยวข้องจะถูกดำเนินการแทน ช่องโหว่นี้เพิ่มความเสี่ยงของการติดไวรัสในวงกว้าง เนื่องจากแม้แต่เหยื่อที่ตระหนักถึงความปลอดภัยก็อาจเรียกใช้โค้ดที่เป็นอันตรายโดยไม่ตั้งใจในขณะที่เปิดไฟล์ที่ดูเหมือนจะเป็นไฟล์ที่ไม่เป็นอันตราย นักวิจัยพบว่ากลวิธีของแก๊งค์นี้เรียบง่ายแต่มีประสิทธิภาพ พวกเขาอาศัย PowerShell และสร้างงานที่กำหนดเวลาไว้เพื่อเรียกใช้งานไฟล์ VBS การตรวจสอบ/จำกัดส่วนประกอบเหล่านี้สามารถลดความเสี่ยงของการโจมตี จากกลุ่ม UAC-0099 และช่วยระบุได้อย่างรวดเร็วในกรณีที่เกิดการบุกรุกได้

แหล่งข่าว https://www.hackread.com/uac-0099-hackers-winrar-flaw-cyberattack-ukraine/