近期，安全研究人员发现了一种分发 Remcos 远程访问木马 (RAT) 的新方法。这种恶意软件可以让攻击者完全控制受感染的系统，并通过包含缩短URL 的恶意 Word 文档进行传播。

这些URL会导致下载Remcos RAT，该木马可用于数据窃取、间谍活动以及其他恶意活动。理解感染链条并识别此类攻击的迹象对于减少这些威胁至关重要。

感染链分析

这种攻击通常始于一封包含.docx附件的电子邮件，旨在欺骗接收者。在检查该文件时，发现其中包含一个缩短的URL，显示出恶意意图。该URL会重定向至下载以RTF格式存在的Equation Editor恶意软件的变种。

通过利用Equation Editor的漏洞（CVE-2017-11882），这种恶意软件试图下载一个由一长串连接的变量和字符串组成的VB脚本，可能经过编码或混淆处理。

这些字符串形成一个编码的有效负载，可以稍后在脚本中解码或执行。

该VB脚本解混淆后变成PowerShell代码，尝试通过隐写术图像和反向Base64编码的字符串下载恶意二进制文件。

尽管进行了一次命令与控制（C2）的调用，但也存在TCP重新连接，表明C2可能不可用。

被动DNS分析确认了C2域名，但它们目前处于停用状态。

攻击细节

该文档（SHA1：f1d760423da2245150a931371af474dda519b6c9）包含两个关键文件：settings.xml.rels 和 document.xml.rels，位于 word/_rels/。

Settings.xml.rels 文件显示了一个缩短的 URL，负责下载感染的下一阶段：

在沙盒环境中运行该.docx文件发现它包含CVE-2017-0199漏洞。利用此漏洞后，该文档将尝试连接到远程服务器以下载恶意文件。

攻击者使用URL缩短服务来掩盖恶意URL，使受害者难以识别风险，并帮助绕过可能会标记可疑URL的安全过滤器。

PDF 文件看似无害，显示某公司与银行之间的交易。但真正的威胁在于通过缩短的URL 下载的 RTF 文件（SHA1：539deaf1e61fb54fb998c54ca5791d2d4b83b58c）。

该文件利用公式编辑器漏洞下载 VB 脚本（SHA1：9740c008e7e7eef31644ebddf99452a014fc87b4）。

混淆和有效载荷投递

VB 脚本是一串连接变量和字符串的长字符串，可能是编码或混淆的数据。

重要变量“remercear”由反复连接各种字符串文字构成，表明它包含编码信息或命令。

去混淆后，PowerShell 代码尝试从两个不同的 URL 下载恶意二进制文件。

第一个 URL 使用隐写术将恶意软件隐藏在图像中：隐写图像

该图像包含一个长的Base64编码字符串，其中前六个字节解码为'MZ'，表明存在一个Windows可执行文件。

第二个 URL 与 IP 地址通信以检索包含反向 Base64 编码字符串的 TXT 文件。

这增加了一层混淆，从而逃避了简单的检测机制。

使用 Cyber Chef 等工具，对字符串进行反转，并对 Base64 进行解码以显示恶意负载（SHA1：83505673169efb06ab3b99d525ce51b126bd2009）。

监控这些进程发现与潜在 C2 服务器（IP：94[.]156[.]66[.]67:2409）的连接目前已关闭，导致 TCP 重新连接。

在Word文档中使用缩短URL来分发Remcos RAT突显了网络犯罪分子不断进化的策略。

通过理解感染链条并识别此类攻击的迹象，个人或企业组织可以更好地保护其免受这些威胁。所以，请始终谨慎处理未经请求的带附件的电子邮件，并避免点击来自未知来源的缩短URL。

参考及来源：https://gbhackers.com/beware-of-shorten-urls/