Bi.Zone表示,Loup-Garou报纸在7月和8月通过联合档案进行了漏洞,这些电子邮件是具有完全俄罗斯研究所的员工身份的电子邮件。最终目标是安装恶意软件,以供感染系统访问纸狼。
尽管Eset和Bi.Zone的发现是彼此独立的,但尚不清楚利用漏洞的群体是相同来源连接还是获得的知识。 Bi.Zone假设狼纸狼在黑暗市场犯罪论坛上可能已经获得了脆弱性。
Eset说,他观察到的攻击是在三个处决链之后进行的。用于针对特定组织的攻击中的链条使用称为兼容的方法执行了一个藏在存档中的恶意DLL文件,该方法使其被某些应用程序(例如Microsoft Edge)执行。看起来像这样:
传奇代理的执行链安装的插图。
学分:ESET
传奇代理的执行链安装的插图。
学分:ESET
嵌入式ShellCode中的DLL文件已撕裂,该文件继续从当前机器中恢复域名,并将其与硬编码值进行比较。当两者对应时,ShellCode安装了神话代理操作框架的个性化实例。
第二个频道执行了恶意窗口可执行的窗口,以提供最终的有效载荷安装Snipbot,这是已知的ROMCOM恶意软件。他通过在空的虚拟机或沙箱(当前研究人员的实践中打开)时结束了一些尝试,以结束医疗法律的尝试。第三个频道使用了另外两个ROMCOM恶意软件作品,一种被称为RustyClaw和另一个Fusion Claw。
Winrar的漏洞已经用于安装恶意软件。 2019年,2019年的脆弱性在纠正后不久,在2019年进行了广泛的剥削。 2023年,在发现袭击事件之前,有一天零温拉尔(Winrar)经营了四个多月。
除了大量的用户群外,Winrar还制作了传播恶意软件的理想工具,因为公共服务没有自动化的机制来安装新的更新。这意味着用户必须自行下载和安装纠正措施。此外,ESET表示,UNRA的Portable Source Unrra源命令策略UNOSE代码的Windows版本也很脆弱。人们应该在7.13之前避开所有版本的Winrar,当时,这篇文章是在线的。他已经解决了所有已知漏洞的修复,尽管鉴于Winrar Zer days显然无尽的流动,但这并不是真正的保险。