Az UAC-0099 néven ismert banda folyamatos, Ukrajnát célzó támadásainak némelyike a WinRAR szoftverben található magas besorolású sérülékenységet használja ki a LONEPAGE nevű kártevő terjesztéséhez. A bűnözők ukrán alkalmazottakat vesznek célba, akik országon kívüli vállalatoknál dolgoznak.
Az UAC-0099-et először 2023 júniusában dokumentálta az Ukrán Számítógépes Vészhelyzeti Reagáló Csoport (CERT-UA), részletezve az állami cégek és médiaszervezetek ellen kémkedési céllal elkövetett behatolásokat.
A támadási láncok HTA, RAR és LNK fájlmellékleteket tartalmazó adathalász üzeneteket használtak, amelyek a LONEPAGE, egy Visual Basic Script (VBS) rosszindulatú szoftver telepítéséhez vezettek, amely képes kapcsolatba lépni egy parancs- és vezérlő (C2) szerverrel, hogy további hasznos terheket, például keyloggereket, adatlopóprogramokat és képernyőképeket készítő rosszindulatú szoftvereket telepítsenek.
"2022-2023 folyamán az említett csoport jogosulatlan távoli hozzáférést kapott több tucat ukrajnai számítógéphez" - közölte akkor a CERT-UA. A Deep Instinct legújabb elemzése szerint a HTA csatolmányok használata csak egy a három különböző fertőzési lánc közül, a másik kettő az önkicsomagoló (SFX) archívumokat és a trükkös ZIP-fájlokat használja ki. A ZIP-fájlok a WinRAR sebezhetőségét (CVE-2023-38831, CVSS score: 7.8) használják ki a LONEPAGE terjesztéséhez.
Az előbbi esetben az SFX fájlban egy LNK parancsikon található, amely egy bírósági idézés DOCX fájljának van álcázva, miközben a Microsoft WordPad ikonját használja, hogy az áldozatot a megnyitásra csábítsa, amit a LONEPAGE malware-t tartalmazó rosszindulatú PowerShell kód végrehajtása követ. A másik támadássorozat egy speciálisan kialakított ZIP-archívumot használ, amely a CVE-2023-38831 sérülékenységet használja ki. A Deep Instinct két ilyen, a kiberbűnözők által létrehozott fájlt talált 2023. augusztus 5-én, három nappal azután, hogy a WinRAR karbantartói kiadták a hiba javítását.
"Az UAC-0099 által alkalmazott taktika egyszerű, mégis hatékony" - mondta a vállalat. "A különböző kezdeti fertőzési vektorok ellenére a fertőzés lényege ugyanaz - a PowerShellre és egy VBS-fájlt végrehajtó ütemezett feladat létrehozására támaszkodnak." A fejlesztés akkor történt, amikor a CERT-UA figyelmeztetett a Remcos RAT néven ismert távoli hozzáférési trójai terjesztésére szolgáló, állítólag kiemelkedő Kyivstar-díjakat tartalmazó adathalász üzenetek új hullámára. Az ügynökség a kampányt az UAC-0050-nek tulajdonította.