駭客利用Office已知漏洞,透過網路釣魚散布Remcos RAT
資安業者Fortinet公布最新一波的木馬程式Remcos RAT攻擊行動,過程中駭客利用5年前的已知漏洞CVE-2017-0199,在後臺下載HTML應用程式檔案(HTA)啟動感染鏈。
駭客利用RAT發動攻擊的情況,不時有事故傳出,而最近一波攻擊行動裡,攻擊者採用了新的手法來迴避偵測,因而引起研究人員的注意。
資安業者Fortinet發現假借公司業務往來的網路釣魚攻擊,駭客聲稱寄送採購單(PO)的名義,寄送帶有Excel檔案附件的釣魚信,一旦收信人開啟附件檔案,就會看到這份文件受到保護的訊息,若要檢視內容,就必須依照指示啟用編輯功能及啟用內容,然而若是照做,就會觸發遠端程式碼執行漏洞CVE-2017-0199,攻擊者藉此於後臺下載HTML應用程式檔案(HTA),並於受害電腦執行。
值得留意的是,為了避免東窗事發,此HTA採用JavaScript、VBScript等多種指令碼,並搭配Base64演算法、PowerShell指令來進行多層包裝。一旦該HTA檔案啟動,就會將dllhost.exe下載到受害電腦並執行。
此執行檔會利用處理程序挖空(Process Hollowing)手法,將惡意程式碼注入新的處理程序Vaccinerende.exe,從而在記憶體內執行Remcos RAT有效酬載,然後向C2伺服器進行註冊、接收命令,而這麼做的目的,就是避免於磁碟上留下痕跡。
【資安新聞-iThome】
駭客利用Office已知漏洞,透過網路釣魚散布Remcos RAT
詳細資訊請參考:https://www.ithome.com.tw/news/165851