UAC-0099是一个亲俄罗斯的黑客组织，自两国冲突开始以来一直以乌克兰为目标。被利用的WinRAR漏洞是2023年8月发现的一个零日漏洞 - 尽管随后进行了修补工作，但未修补的系统仍然面临风险并继续成为攻击目标。

深度本能实验室的网络安全研究人员揭示了“UAC-0099”发起的一系列新的网络攻击，专门针对乌克兰人。这些攻击采用常见的策略，例如使用伪造的法庭传票来诱使目标执行恶意文件。

该组织的活动最初于2023年5月通过乌克兰CERT公告“#6710”披露，现在Deep Instinct提供了对其最新攻击的独家见解。

根据该公司的博客文章，2023年12月21日，“UAC-0099”利用电子邮件诈骗，通过ukr.net电子邮件服务冒充利沃夫市法院。目标是一名为乌克兰境外一家公司远程工作的乌克兰员工。该欺骗性电子邮件包含由WinRAR创建的名为docx.lnk的可执行文件。

虽然显示为常规文档，但它是一个LNK快捷方式，旨在执行带有恶意内容的PowerShell，解码两个Base64 blob并将输出写入VBS和DOCX文件。

该VBS恶意软件被CERT-UA识别为“LonePage”，它会建立一个隐藏的PowerShell进程，该进程与预定义的C2 URL进行通信以检索文本文件。该脚本验证文本文件中是否存在字符串“get-content”，随后从服务器执行代码并将其保存为字节数组。

LonePage VBS(VBS)被证明是一种强大的工具，使网络犯罪分子能够渗透计算机并执行恶意代码。它采用欺骗策略，利用DOCX诱饵文档，欺骗受害者相信他们正在打开合法文件。HTA技术采用类似于LNK攻击向量的方法，涉及一个包含VBScript的HTML文件，该VBScript以四分钟的重复任务节奏执行PowerShell。

在这两起事件中，亲俄罗斯团伙利用了一个公认的WinRAR漏洞，该漏洞于2023年8月指定为CVE-2023-38831，并由Group-IB识别。此漏洞源于WinRAR处理ZIP文件的方式，需要用户与特制的ZIP存档交互才能利用。

攻击者通过在文件扩展名后添加一个空格来制作看似无害的存档。该存档包含一个具有相同名称的文件夹和一个带有“.cmd”扩展名的额外文件。

当用户双击无害文件时，将执行关联的“cmd”文件。此漏洞增加了广泛感染的风险，因为即使具有安全意识的受害者也可能在打开看似无害的文件时无意中运行恶意代码。

研究人员发现该团伙的策略简单而有效。他们依赖PowerShell并创建计划任务来执行VBS文件。监视/限制这些组件可以降低“UAC-0099”攻击的风险，并有助于在受到威胁时快速识别它们。

这并不是俄罗斯黑客第一次利用已知漏洞。12月初有媒体报道了俄罗斯GRU下属的Forest Blizzard如何利用Outlook漏洞，允许攻击者窃取Net-NTLMv2哈希值并访问用户帐户。

2023年12月15日，有报道称，俄罗斯黑客在与TeamCity相关的攻击中入侵了一家美国大型生物医学公司。尽管该漏洞在CVSS评分中得分为9.8，并已于2023年9月进行了修补，但未修补的系统仍然容易受到持续的网络攻击。