新APT组织DarkCasino：零日漏洞的攻击浪潮

2022年5月，绿盟科技伏影实验室披露了一起名为DarkCasino的大型APT攻击事件，确认了一个活跃且具有较高对抗能力的攻击者并对其进行持续跟踪。随着对该攻击者活动的深入研究，伏影实验室逐步排除了该攻击者与已知黑客组织的联系，确认了其高级持续性威胁性质，并沿用行动名称，将该攻击者命名为DarkCasino。

2023年8月，国外安全厂商跟进披露了一起DarkCasino针对加密货币论坛用户的活动，并捕获了一个由该攻击者在攻击过程使用的WinRAR 0 day漏洞CVE-2023-38831。

伏影实验室对DarkCasino此次利用WinRAR漏洞的攻击活动进行了分析，确认了该攻击者当前的技战术体系；同时还在跟踪WinRAR漏洞在野利用时发现了大量已知APT组织和未确认攻击者的攻击活动，这些在野漏洞利用攻击活动多以国家政府或跨国组织为目标。

本报告将介绍DarkCasino组织以及其近期攻击事件，并披露伏影实验室捕获的WinRAR漏洞的在野利用行为。 

DarkCasino组织（中文名称：鬼轮盘；绿盟科技高级威胁组织编号：APT-N-12）是一个最早于2021年活动的以经济利益为驱动的APT组织，由绿盟科技伏影实验室最早发现并命名。

伏影实验室创建了一个APT组织卡片，用于描述DarkCasino组织的主要属性与行为特征。

DarkCasino组织的名称来自伏影实验室在2022年5月捕获的一起同名的大型APT攻击行动，关于该行动的具体内容可以参考伏影实验室已经发布的报告。

DarkCasino的主要攻击目标为欧洲、亚洲、中东等区域的各种线上交易平台，覆盖的行业包括加密货币、线上赌场、网络银行、网上信贷平台等，该组织擅长通过窃取目标主机中的各类密码，获取受害者存放在各种线上账户中的资产。

DarkCasino的攻击活动非常频繁，显示出对窃取网络财产的强烈渴望。早期，DarkCasino的活动范围主要为地中海周边各国以及使用相关线上金融服务的其他亚洲国家；近期，随着DarkCasino钓鱼手段的变化，其攻击已经覆盖至到全球范围加密货币的用户，甚至包括韩国、越南等亚洲非英语语系国家。

DarkCasino是一个具有较强技术能力与学习能力的攻击者，擅长将各种流行的APT攻击技术融入到自己设计的攻击流程中。早期的DarkCasino主要借鉴了一个名为Evilnum的APT攻击者的攻击思路，使用恶意快捷方式、图片隐写等技术实现钓鱼攻击，并且在整体流程设计上也与Evilnum比较相似，因此伏影实验室一度将该组织归因至Evilnum；2022年下半年以后，DarkCasino逐渐抛弃了从Evilnum组织处借鉴的攻击思路，自研了一套基于多个Visual Basic组件的多级加载模式，进而实施了多起更大规模的网络攻击行动。

DarkCasino在2021年开发了一种基于Visual Basic的木马程序DarkMe，并围绕该木马不断打磨攻击流程的细节，改进该木马的功能、对抗能力以及投递方式，提升攻击的稳定性与效率。对该攻击工具的详细分析同样可参考伏影实验室已经发布的分析报告。

目前，尚未有足够的证据证明DarkCasino的组织来源。 

CVE-2023-38831是一个WinRAR软件的任意执行漏洞，最早于2023年4月被DarkCasino攻击者利用，在2023年8月的WinRAR新版本v6.23中被修复。

CVE-2023-38831的实现基于WinRAR软件的文件运行机制，通过构建一个诱饵文件、一个与诱饵文件同名的文件夹，以及文件夹内一个末尾带有空格的同名恶意文件，欺骗WinRAR调用的API函数ShellExecuteExW，使其在本应该打开诱饵文件时错误地释放恶意文件并执行。对该漏洞利用细节的详细分析可参考已有报告。

伏影实验室发现，CVE-2023-38831能够融入常见的邮件或水坑式网络钓鱼攻击中，替换钓鱼邮件中常见的恶意压缩包附件，使其更有欺骗性，未受过专业训练的WinRAR用户很难识别和防御这种漏洞利用攻击；部分CVE-2023-38831漏洞利用变体还具备了一定的免杀能力，能够绕过目标设备中的终端防护软件，达到攻击效果。

由于WinRAR软件存在装机量大、更新渠道闭塞、维护困难等情况，使CVE-2023-38831具备了极大的影响面和攻击力，预期该漏洞将在一段时间内成为攻击者突破目标防御的重要武器。 

伏影实验室观察发现，DarkCasino攻击者自2022年5月首次使用DarkMe木马程序进行大规模网络攻击以来，在一年多的时间内持续活跃，每个季度都会发动针对各类线上交易平台的攻击行动。

2023年4月，DarkCasino攻击者开发了一种新的攻击模式，展开了新的一轮针对线上交易论坛的攻击行动。

DarkCasino攻击者在这种新型攻击模式中使用了一种WinRAR zero-day漏洞（后被安全研究人员确认并分配编号CVE-2023-38831），将恶意程序放入精心构建的漏洞压缩文件中，通过在线上交易论坛发帖的方式对论坛用户进行钓鱼攻击。

总体上，DarkCasino攻击者利用了加密货币用户的贪婪心理，构建了各种赚钱心得、投资建议类的帖子内容，引诱论坛用户打开帖子附带或指向的恶意文件。

DarkCasino将大量漏洞文件投放到各类交易论坛中，期望获取更多的钓鱼成果。直至10月，部分带有恶意链接或文件的发帖仍然没有被清理，如下所示。

伏影实验室发现DarkCasino通过这些漏洞压缩文件实现了两种攻击流程。这两种攻击流程主要逻辑比较相似，主要区别在木马数据存放形式方面。

本报告以使用加密txt文件的攻击流程为例，介绍DarkCasino攻击者在本轮行动中的流程设计思路和变化。

这种攻击流程的主要构成如下图所示，由CVE-2023-38831漏洞利用文件、Cabinet存档文件、reg注册表文件、ActiveX 控件文件等构成，分为漏洞利用、载荷释放、木马执行三个阶段。

DarkCasino在另一种攻击流程中，将存放加密木马数据的媒介替换成了隐写图片。

伏影实验室在对CVE-2023-38831漏洞影响面进行分析时，发现自2023年8月该漏洞被披露以来，已有多个APT组织和未确认攻击者使用该漏洞进行网络钓鱼攻击，这些攻击的目标多数为各国的重要政府机构。

目前，已经观测到东南亚APT组织DarkPink、东亚APT组织Konni、东欧APT组织GhostWriter使用CVE-2023-38831漏洞开展网络攻击活动。

伏影实验室还捕获了大量无法归因至已知APT攻击者的在野漏洞利用文件。鉴于这些漏洞利用文件针对的目标多为政府机构、跨国机构等敏感目标，伏影实验室对这些攻击者进行了标记，分配了追踪用的临时名称Actor230830、Actor231003、Actor231004以及Actor231010。

此外，伏影实验室还捕获到了疑似针对我国的WinRAR漏洞在野利用事件，并将对应攻击者编号为Actor231009。

新型APT组织DarkCasino带来的WinRAR漏洞CVE-2023-38831，给2023下半年的APT攻击形势带来了变数，多个APT组织纷纷利用该漏洞的N day窗口期，对政府等重点目标实施攻击，期望绕过这些重点单位的防护体系，达成攻击目的。

随着时间的推移，伏影实验室在近期还捕获了批量生成的以交易账单为诱饵的漏洞利用文件，这一现象说明大型的钓鱼邮件网络控制者也将该漏洞融入了其钓鱼攻击体系中，这预示着未来将会有更多WinRAR用户会受到该漏洞利用的攻击。

伏影实验室捕获的部分在野攻击事件表明，已经有攻击者将我国重点单位列入攻击目标，尝试使用该WinRAR漏洞实施入侵。考虑到WinRAR软件在我国的覆盖度，此类攻击提醒我们及时建立针对该漏洞的防御措施。

关于DarkCasino组织近期攻击活动的详细分析、CVE-2023-38831在野漏洞利用的方式、Actor231009针对我国的攻击活动的细节、针对该漏洞的防御建议等信息，请关注通过绿盟科技官方博客与绿盟科技威胁情报公众号发布的完整版报告。