俄羅斯、白俄羅斯遭到WinRAR漏洞攻擊

烏克蘭戰爭開打已超過2年半，兩國不光是軍事行動你來我往，網路環境的攻擊行動也不時傳出，甚至有不少專門從事這類攻擊的駭客組織產生。

其中，資安業者卡巴斯基揭露的駭客組織Head Mare，就是典型的例子。研究人員指出，這些駭客從2023年開始活動，利用WinRAR已知漏洞CVE-2023-38831對俄羅斯、白俄羅斯企業組織發動攻擊，在入侵受害組織得逞後，又使用公開的工具執行後續活動，其中包含LockBit、Babuk勒索軟體，來加密受害電腦的檔案。

專門針對俄羅斯企業組織發動攻擊並進行破壞的駭客組織，使用的攻擊手法和工具往往相當類似，但Head Mare取得受害組織的初始入侵管道方法較不同，其中一種就是利用CVE-2023-38831，使得駭客能夠更有效地偽裝並傳遞有效酬載。基本上，這種對於敵對國家企業組織發動攻擊的駭客組織，主要目的是進行破壞，但Head Mare會索討贖金，使得受害組織能夠復原被加密的資料。

截至目前為止，這些駭客聲稱已攻陷9個企業組織，這些涵蓋政府機關、運輸、能源、製造，以及娛樂產業。

究竟這些駭客如何入侵受害組織？研究人員指出通常是透過惡意程式PhantomDL、PhantomCore來進行，駭客透過網路釣魚散布檔案，一旦使用者試圖開啟誘餌檔案，就會觸發CVE-2023-38831，執行惡意程式。而這些惡意程式，便會與C2伺服器進行通訊，並解析受害主機所屬的網域環境。附帶一提，駭客使用Sliver架設C2通訊環境，。

為了進行橫向移動，駭客使用名為Pivoting的手法，將已遭入侵的電腦充當節點，濫用ngrok及rsockstun等公用程式存取私人網段的環境。

其中，他們運用rsockstun打造SOCKS5反向隧道，此通道具備代理伺服器功能，並使用SSL進行加密通訊。如此一來，攻擊者便能存取在NAT或防火牆之後的裝置。至於ngrok，攻擊者則是用來建立從網際網路到內部網頁伺服器的安全隧道。

而這駭客最終會將受害組織的檔案進行加密，值得留意的是，對於不同平臺，他們採用加密工具也有所不同。其中，針對Windows電腦是使用LockBit，而針對VMware虛擬化平臺ESXi，駭客則是利用Linux版Babuk。