最近的高级恶意软件活动利用网络钓鱼攻击来传递利用 CVE-2017-0199 的看似无害的 Excel 文件。
通过利用 Microsoft Office 中的此漏洞,攻击者能够使用 OLE 对象在文件中嵌入恶意代码。
它利用加密和混淆技术来隐藏恶意负载。
打开文件后,受害者的系统将执行 Remcos RAT 的无文件变体,从而授予攻击者远程访问和控制权。
该恶意软件活动利用CVE-2017-0199漏洞,通过包含加密 Excel 文件的网络钓鱼电子邮件传递 Remcos RAT。
攻击链涉及 OLE 对象利用、HTA 应用程序执行和 PowerShell 命令以将 RAT 注入合法进程。
该进程已被各种恶意软件家族所利用,包括 LATENTBOT、FINSPY 和 WingBird/FinFisher。
2024 年部署的 RevengeRAT、 SnakeKeylogger 、GuLoader、AgentTesla 和 FormBook 的最新活动主要针对:
比利时、日本、美国、韩国、加拿大、德国和澳大利亚的政府、制造业、技术/IT 和银行业。
它利用鱼叉式网络钓鱼附件诱使受害者打开欺骗性的 Excel 文档,该文档利用漏洞 (CVE-2017-0199) 执行包含恶意 URL 的嵌入式 OLE 对象。
该 URL 会启动与恶意服务器的连接,下载并执行武器化的 HTA 文件,最终危害受害者的系统。
Excel 文件利用 CVE-2017-0199 来传播恶意 HTA 应用程序,该应用程序随后执行 PowerShell 脚本。
该脚本从远程 URL 下载并运行 VBScript,其中包含由 PowerShell 解码和执行的混淆数据,从而启动一系列 PowerShell 进程以升级攻击。
最后一个过程会下载一个包含 base64 编码的“dnlib.dll”库的 JPEG 文件,该文件会被解码并加载到内存中。
然后利用各种技术来逃避检测并在目标环境中实现持久性,从而进行进一步的恶意活动。
攻击首先由 PowerShell 从恶意 URL 下载 base64 编码的文本文件,然后通过“dnlib.dll”处理以创建Remcos RAT的 .NET 程序集。
随后将其注入合法进程“RegAsm”。
据Trellix称,Remcos RAT 随后通过将自身注入其他合法进程来建立持久性,从而逃避传统的安全防御。
Remcos RAT 存在的指标包括其键盘记录器文件和相关的 IOC,它们利用 MITRE ATT&CK 技术 T1055.001、T1027、T1543.003 和 T1071.001。
攻击者使用多种先进技术,利用 Microsoft Office 中的漏洞 (CVE-2017-0199) 执行恶意代码,从而造成持续威胁。
然后,它从受感染的服务器下载其他工具,如 OLE 对象、仅内存的 .NET 程序集和脚本(.hta、vbs.txt)。
这可能帮助攻击者在受感染的系统上保持持久性并可能窃取数据。
原文始发于微信公众号(网络研究观):警惕传播无文件 Remcos RAT 的武器化 Excel 文档
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论