安全企業Fortinet近日揭露,黑客正利用一個五年前就被公開的漏洞CVE-2017-0199,對Office企業用戶進行攻擊。該漏洞允許遠程執行代碼,對企業數據安全構成嚴重威脅。
據悉,黑客首先通過偽裝成業務往來郵件的方式,向目標用戶發送包含惡意Excel附件的網絡釣魚郵件。當用戶打開這些看似正常的附件并嘗試編輯內容時,便會觸發該漏洞。
一旦漏洞被觸發,受害者的設備會在后臺自動下載并運行一個由黑客精心準備的HTA文件。這個文件經過了多層包裝,使用了Java、VB等腳本語言,并結合Base64編碼和PowerShell命令,以逃避安全檢測。
HTA文件運行后,會進一步下載并執行一個名為dllhost.exe的惡意程序。該程序隨后將惡意代碼注入到新的進程Vaccinerende.exe中,從而完成Remcos RAT木馬的傳播。
研究人員在深入分析后發現,黑客在攻擊過程中還使用了多種反追蹤技術,如異常處理和動態API調用等,以增加攻擊的隱蔽性和逃避安全檢測的能力。
