安全公司曝光黑客利用微軟 Office 已知漏洞散播 Remcos RAT 木馬程序

IT之家 11 月 15 日消息，安全公司 Fortinet 發(fā)布報(bào)告，稱最近有黑客利用 5 年前公布的 CVE-2017-0199 漏洞，瞄準(zhǔn) Office 企業(yè)用戶發(fā)動(dòng)攻擊。

IT之家參考報(bào)告獲悉，相關(guān)黑客首先發(fā)送一批偽造成公司業(yè)務(wù)往來(lái)信息的網(wǎng)絡(luò)釣魚郵件，其中帶有含有木馬的 Excel 附件。一旦收件人打開附件，就會(huì)看到相關(guān)文件受到保護(hù)，要求用戶啟用編輯功能才能查看內(nèi)容，在用戶點(diǎn)擊“啟用編輯”按鈕后，便會(huì)觸發(fā) CVE-2017-0199 遠(yuǎn)程代碼執(zhí)行漏洞，之后受害者設(shè)備便會(huì)在后臺(tái)自動(dòng)下載運(yùn)行黑客預(yù)備的 HTML 文件（HTA）。

值得注意的是，這一 HTA 文件據(jù)稱使用 JavaScript、VBScript 等腳本并結(jié)合 Base64 編碼算法和 PowerShell 命令進(jìn)行多層包裝以避免被安全公司發(fā)現(xiàn)。一旦 HTA 文件被啟動(dòng)，它會(huì)將黑客預(yù)備的 dllhost.exe 下載到受害者設(shè)備上運(yùn)行，而后相關(guān) exe 文件會(huì)將惡意代碼注入到一個(gè)新的進(jìn)程 Vaccinerende.exe 中，從而傳播 Remcos RAT 木馬。

研究人員指出，黑客為隱藏其蹤跡利用了多種反追蹤技術(shù)，包括“異常處理”、“動(dòng)態(tài) API 調(diào)用”等手段，以達(dá)到規(guī)避檢測(cè)的目的。就此，安全公司提醒企業(yè)及用戶個(gè)人應(yīng)及時(shí)更新 Office 軟件，降低被黑客攻擊的風(fēng)險(xiǎn)。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。