内容摘要：11 月 13 日消息，软件开发商 RARLab 于今年 7 月修复了 WinRAR 的零日漏洞 CVE-2023-38831，不过有安全公司 Seqrite 指出，日前依然有多名 SideCopy

11 月 13 日消息，利用零日漏洞软件开发商 RARLab 于今年 7 月修复了 WinRAR 的已知零日漏洞 CVE-2023-38831，不过有安全公司 Seqrite 指出 ，黑客日前依然有多名 SideCopy 黑客组织成员利用这项漏洞，组织对还未来得及修复的锁定电脑发动攻击，对这些电脑部署 AllaKore RAT、弱安DRat、全设起攻Ares RAT 变种等恶意木马。利用零日漏洞

黑客先是云计算已知通过网络钓鱼手法 ，引诱用户下载钓鱼 PDF 文件，黑客但 PDF 实际上是组织伪装的 Windows LNK 可执行文件，一旦受害者打开了 PDF 文件，锁定木马就会开始分析电脑安装的弱安.NET 版本、 杀毒软件信息，全设起攻然后使用 Base64，免费模板利用零日漏洞以 DLL 侧载（DLL Side-loading）方式启动恶意 DLL 库 。

▲ 钓鱼 PDF 文件 ，图源 Seqrite

▲ 钓鱼 PDF 文件
，图源 Seqrite

据悉
，这一 DLL 库先会开启钓鱼 PDF 文件内容来降低用户戒心，而在背地里向黑客的域名发送信息，在后台中下载一系列恶意软件 ，进而进行攻击，黑客可窃取用户系统信息、高防服务器录制用户键盘输入内容 、截图用户桌面、上传下载内容等。

在其中一起攻击行动里
，黑客散播与印度太空研究组织 NSRO 有关的 PDF 文件，文件名是 ACR.pdf 或 ACR_ICR_ECR_Form_for_Endorsement_New_Policy.pdf ，Windows 及 Linux 设备点击后，便会中招。香港云服务器

IT之家经过查询得知 ，SideCopy 的攻击行动最早可追溯自 2019 年，长期以来都是针对南亚国家下手
，而 Seqrite 研究人员指出 ，从今年初他们每个月几乎都会看到该黑客组织发起新攻击行动，也陆续发现黑客开始启用一系列新工具，例如 Double Action RAT、一个以. NET 开发的服务器租用 RAT 木马程序，并也开始通过 PowerShell 远程执行命令 。

此外，这些黑客今年积极针对大学生的电脑下手
，泄露学生隐私资料，还利用蜜罐陷阱（Honeypot）引诱相关部门人员上当  ，从而窃取机密情报 。