黑客組織UAC-0099概述

黑客組織UAC-0099是一個親俄羅斯的黑客團(tuán)體，它們以烏克蘭為主要目標(biāo)，自兩國沖突開始以來一直活躍。該組織利用電子郵件詐騙和網(wǎng)絡(luò)釣魚技術(shù)，通過偽裝成合法機(jī)構(gòu)如法院等，發(fā)送含有惡意軟件的附件，例如利用名為docx.lnk的可執(zhí)行文件進(jìn)行攻擊。這些攻擊通常針對在烏克蘭境外公司工作的烏克蘭員工。

UAC-0099與WinRAR漏洞關(guān)系

UAC-0099被發(fā)現(xiàn)利用WinRAR漏洞CVE-2023-38831（CVSS評分7.8）來分發(fā)LONEPAGE惡意腳本。這個漏洞是在2023年8月被發(fā)現(xiàn)的一個零日漏洞，盡管后來已經(jīng)發(fā)布了補(bǔ)丁，但未更新補(bǔ)丁的系統(tǒng)仍然面臨風(fēng)險(xiǎn)。UAC-0099通過包含HTA、RAR和LNK文件附件的網(wǎng)絡(luò)釣魚消息來部署惡意軟件，這些惡意軟件能夠記錄鍵盤敲擊、竊取程序和屏幕截圖等敏感信息。

UAC-0099歷史行動

UAC-0099的活動最初于2023年5月通過烏克蘭CERT公告“#6710”披露。他們的攻擊手段包括使用偽造的法庭傳票來誘使目標(biāo)執(zhí)行惡意文件。在一系列新的網(wǎng)絡(luò)攻擊中，他們專門針對烏克蘭人，利用電子郵件詐騙，通過ukr.net電子郵件服務(wù)冒充利沃夫市法院，發(fā)送含有惡意軟件的電子郵件。

UAC-0099攻擊手段

UAC-0099的攻擊手段多樣，除了通過HTA附件方式之外，還通過自解壓（SFX）和ZIP格式分發(fā)惡意軟件。其中SFX文件中包含LNK快捷方式，這些快捷方式偽裝成合法文件，如用于法院傳票的DOCX文件，并使用諸如Microsoft寫字板的圖標(biāo)來誘使受害者打開。他們還使用特別構(gòu)建的ZIP存檔來進(jìn)行攻擊。

綜上所述，UAC-0099是一個專注于針對烏克蘭目標(biāo)的黑客組織，他們通過利用WinRAR等軟件的漏洞來傳播惡意軟件，并采用多種手段來誘騙受害者執(zhí)行惡意文件。他們的活動顯示了對烏克蘭境外員工的特別關(guān)注，并且他們的攻擊行動在網(wǎng)絡(luò)安全領(lǐng)域引起了廣泛關(guān)注。