WinRAR-Schwachstelle: LONEPAGE-Malware greift ukrainische Firmen an
Im Bereich der Cybersicherheit ist Wachsamkeit oberstes Gebot, und die jüngsten Entwicklungen zeigen, dass ukrainische Einrichtungen einer ständigen Bedrohung ausgesetzt sind. Unter Mitte 2023veröffentlichte das ukrainische CERT die Empfehlung Nr. 6710, in der ein Bedrohungsakteur mit der Bezeichnung "UAC-0099". Die Aktivitäten dieses Akteurs und sein Arsenal an Tools wurden in dem Advisory kurz und bündig beschrieben. In diesem Blog-Beitrag gehen wir auf die komplexen Details der anhaltenden Bedrohung der Cybersicherheit ein, die von LONEPAGE-Malware. Außerdem werden wir die Taktik der LONEPAGE-Malware und die sich entwickelnde Landschaft der gezielten Angriffe auf ukrainische Unternehmen aufdecken.
LONEPAGE-Malware: Der fortgesetzte Angriff von UAC-0099 auf die Ukraine
Seit der Veröffentlichung des CERT-UA-Gutachtens, Deep Instinct aufgedeckt neue Malware-Angriffe von UAC-0099 aufgedeckt, die speziell auf ukrainische Unternehmen abzielen. UAC-0099 wendet eine raffinierte Strategie an, indem es gefälschte Gerichtsvorladungen einsetzt, um ahnungslose Ziele in der Ukraine zur Ausführung bösartiger Dateien zu verleiten. Die Cybersicherheit ukrainischer Unternehmen hat in der sich ständig weiterentwickelnden digitalen Landschaft oberste Priorität und erfordert robuste Strategien zur Risikominderung und zur Stärkung der Verteidigung gegen neue Cyber-Bedrohungen.
UAC-0099 und WinRAR-Sicherheitslücken
UAC-0099 war in eine Reihe von Angriffen auf die Ukraine verwickelt, bei denen eine kritische Schwachstelle in der WinRAR-Software ausgenutzt wurde, um die LONEPAGE-Schadprogramm. Nach Angaben des Cybersicherheitsunternehmens Deep Instinct hat es dieser Bedrohungsakteur auf ukrainische Mitarbeiter internationaler Unternehmen abgesehen.
In einer detaillierten Analyse zeigte Deep Instinct, dass die Angriffsvektoren von UAC-0099 Phishing-Nachrichten mit HTA-, RAR- und LNK-Dateianhängen umfassen. Diese Anhänge lösen, wenn sie aktiviert werden, die Bereitstellung von LONEPAGE aus - einer Visual Basic Script (VBS)-Malware. LONEPAGE ist in der Lage, eine Kommunikation mit einem Command-and-Control (C2)-Server herzustellen und zusätzliche Nutzdaten wie Keylogger, Stealer und Screenshot-Malware abzurufen.
Ein Zeitstrahl des Eindringens
Die Ursprünge von UAC-0099 gehen auf den Juni 2023 zurück, als CERT-UA die Aktivitäten des Bedrohungsakteurs erstmals dokumentierte. Der Bericht zu diesen Trends in der Cybersicherheit hob die spionagegetriebenen Angriffe von UAC-0099 auf staatliche Organisationen und Medienunternehmen in der Ukraine hervor. Beunruhigenderweise kam es im Zeitraum von 2022 bis 2023 zu unbefugtem Fernzugriff auf zahlreiche Computer in der Ukraine. In Anbetracht dessen lässt sich feststellen, dass die Umsetzung strenger Datensicherheitsmaßnahmen von entscheidender Bedeutung für den Schutz sensibler Informationen ist.
Vielfältige Angriffsvektoren
Die neueste Analyse von Deep Instinct enthüllt drei verschiedene Infektionsketten, die von UAC-0099 verwendet werden. Bei der ersten handelt es sich um HTA-Anhänge, bei den beiden anderen um selbstextrahierende Archive (SFX) und bösartige ZIP-Dateien. Im Falle von ZIP-Dateien nutzt UAC-0099 die WinRAR-Schwachstelle (CVE-2023-38831, CVSS-Score: 7.8) aus, um die LONEPAGE-Schadprogramm.
Täuschende Taktiken
Die SFX-Datei beherbergt eine LNK-Verknüpfung, die als DOCX-Datei für eine Gerichtsvorladung getarnt ist. Mithilfe des Microsoft WordPad-Symbols verleitet der Bedrohungsakteur die Opfer dazu, die Datei zu öffnen, was zur Ausführung von bösartigem PowerShell-Code führt, der die LONEPAGE-Malware abwirft.
Die zweite Angriffssequenz beinhaltet ein sorgfältig erstelltes ZIP-Archiv, das für CVE-2023-38831 anfällig ist. Deep Instinct identifizierte zwei solcher Artefakte, die von UAC-0099 am 5. August 2023 erstellt wurden - nur drei Tage, nachdem WinRAR einen Patch für die Sicherheitslücke veröffentlicht hatte. Trotz der unterschiedlichen anfänglichen Infektionsvektoren bleibt die Hauptinfektionsmethode konsistent und beruht auf PowerShell und der Erstellung einer geplanten Aufgabe, die eine VBS-Datei ausführt.
Landschaft der Cyber-Bedrohungen: Eine neue Welle
Zeitgleich mit diesen Enthüllungen hat CERT-UA eine Warnung vor einer neuen Welle von Phishing-Nachrichten herausgegeben, die sich als hervorragende Kyivstar-Gebühren ausgeben. Diese Nachrichten zielen darauf ab, einen als Remcos RAT bekannten Fernzugriffstrojaner zu verbreiten, wobei die Kampagne UAC-0050 zugeschrieben wird. WinRAR-Schwachstellen stellen ein erhebliches Cybersicherheitsrisiko dar und unterstreichen die Wichtigkeit von sofortigen Patches und proaktiven Maßnahmen zur Sicherung von Systemen und zum Schutz vor potenziellen Angriffen.
Schlussfolgerung
Die Landschaft der Cyber-Bedrohungen 2023 ist dynamisch, und die Aktivitäten der UAC-0099 unterstreichen die Notwendigkeit unablässiger Wachsamkeit. Das Verständnis ihrer Taktiken und der Schwachstellen, die sie ausnutzen, ist entscheidend für die Stärkung der Abwehrkräfte. Organisationen, insbesondere solche mit Verbindungen zur Ukraine, sollten Cybersecurity-Maßnahmen priorisieren, um die sich entwickelnden ukrainischen Cybersicherheitsvorfällen und die Sicherheit ihrer digitalen Infrastruktur zu gewährleisten. Da sich die Cybersicherheitslandschaft weiterentwickelt, ist es wichtig, informiert zu bleiben und die bewährte Praktiken im Bereich der Cybersicherheit bleiben der Schlüssel zum Schutz vor solchen heimtückischen Bedrohungen.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Tiefer Instinkt.