安全企業(yè)Fortinet近日揭露,黑客正利用一個(gè)五年前就被公開的漏洞CVE-2017-0199,對(duì)Office企業(yè)用戶進(jìn)行攻擊。該漏洞允許遠(yuǎn)程執(zhí)行代碼,對(duì)企業(yè)數(shù)據(jù)安全構(gòu)成嚴(yán)重威脅。
據(jù)悉,黑客首先通過偽裝成業(yè)務(wù)往來郵件的方式,向目標(biāo)用戶發(fā)送包含惡意Excel附件的網(wǎng)絡(luò)釣魚郵件。當(dāng)用戶打開這些看似正常的附件并嘗試編輯內(nèi)容時(shí),便會(huì)觸發(fā)該漏洞。
一旦漏洞被觸發(fā),受害者的設(shè)備會(huì)在后臺(tái)自動(dòng)下載并運(yùn)行一個(gè)由黑客精心準(zhǔn)備的HTA文件。這個(gè)文件經(jīng)過了多層包裝,使用了Java、VB等腳本語言,并結(jié)合Base64編碼和PowerShell命令,以逃避安全檢測(cè)。
HTA文件運(yùn)行后,會(huì)進(jìn)一步下載并執(zhí)行一個(gè)名為dllhost.exe的惡意程序。該程序隨后將惡意代碼注入到新的進(jìn)程Vaccinerende.exe中,從而完成Remcos RAT木馬的傳播。
研究人員在深入分析后發(fā)現(xiàn),黑客在攻擊過程中還使用了多種反追蹤技術(shù),如異常處理和動(dòng)態(tài)API調(diào)用等,以增加攻擊的隱蔽性和逃避安全檢測(cè)的能力。
