APT组织DarkPink利用WinRAR 0day漏洞CVE-2023-38831攻击越南与马来西亚多个目标
💡
原文中文,约4700字,阅读约需12分钟。
📝
内容提要
黑客组织DarkPink利用WinRAR 0day漏洞攻击越南和马来西亚政府目标。使用带有漏洞利用的PDF文件的钓鱼邮件,注入远程访问木马到受害者系统。改进攻击技术,包括使用文件关联更改实现持久性,并使用DelegateExecute逻辑绕过UAC和Windows Defender。防御应集中于提高EDR检测能力。
🎯
关键要点
-
黑客组织DarkPink利用WinRAR 0day漏洞CVE-2023-38831攻击越南和马来西亚政府目标。
-
DarkPink使用带有漏洞利用的PDF文件的钓鱼邮件,注入远程访问木马到受害者系统。
-
该组织的主要攻击方式为鱼叉式网络钓鱼,目标包括亚太地区的政府部门。
-
诱饵文件包括真实的政府文件,增加了攻击的欺骗性。
-
攻击流程包括漏洞利用、木马释放和持久化技术。
-
DarkPink通过修改文件关联实现持久化,降低被发现的风险。
-
使用DelegateExecute逻辑绕过UAC和Windows Defender,提高攻击隐蔽性。
-
防御策略应集中在提高EDR检测能力,以应对CVE-2023-38831的攻击。
-
预计围绕CVE-2023-38831的攻防将是一个持久的过程。
➡️
