【ITBEAR】近日,安全領(lǐng)域巨頭Fortinet揭露了一種新型網(wǎng)絡(luò)攻擊手段,黑客針對(duì)Office企業(yè)用戶展開了一場精心策劃的入侵行動(dòng)。據(jù)悉,此次攻擊利用了早在5年前就已公布的CVE-2017-0199漏洞,該漏洞使得黑客能夠在用戶設(shè)備上遠(yuǎn)程執(zhí)行惡意代碼。
攻擊過程中,黑客首先發(fā)送大量偽裝成正常業(yè)務(wù)通信的網(wǎng)絡(luò)釣魚郵件,郵件附件中潛藏著木馬程序。當(dāng)用戶不慎打開這些看似無害的附件時(shí),系統(tǒng)會(huì)提示文件受保護(hù),需啟用編輯功能方可查看。然而,一旦用戶依提示操作,便會(huì)觸發(fā)該遠(yuǎn)程代碼執(zhí)行漏洞。
緊接著,黑客預(yù)設(shè)的HTML應(yīng)用程序(HTA)文件將被自動(dòng)下載并在用戶設(shè)備上運(yùn)行。這個(gè)文件經(jīng)過Java、VB等腳本語言的多重封裝,以躲避安全檢測。HTA文件運(yùn)行后,會(huì)進(jìn)一步下載并執(zhí)行名為dllhost.exe的惡意程序,該程序隨后將惡意代碼注入到新創(chuàng)建的Vaccinerende.exe進(jìn)程中,從而完成Remcos RAT木馬的傳播。
研究人員在分析此次攻擊時(shí)發(fā)現(xiàn),黑客為了掩蓋行蹤,采用了包括“異常處理”和“動(dòng)態(tài)API調(diào)用”在內(nèi)的多種反追蹤技術(shù)。這些手段使得黑客能夠在實(shí)施攻擊的同時(shí),有效規(guī)避安全系統(tǒng)的檢測。
面對(duì)這一威脅,專家提醒廣大企業(yè)和個(gè)人用戶務(wù)必及時(shí)更新Office軟件,并加強(qiáng)網(wǎng)絡(luò)安全防護(hù)措施。只有保持警惕并采取切實(shí)有效的安全措施,才能在這場與網(wǎng)絡(luò)黑客的較量中立于不敗之地。