社区编辑申请
注册/登录
古老的微软office漏洞至今仍被黑客利用
安全
近日, Cisco Talos 安全研究人员发现一起利用政治和政府主体的恶意域名来攻击印度和阿富汗人的攻击活动。攻击者利用CVE-2017-11882漏洞通过恶意文档来传播dcRAT和QuasarRAT攻击Windows用户,使用AndroidRAT来攻击移动设备用户。

Cisco Talos研究人员发现一起利用古老的微软office漏洞来释放RAT的攻击活动。

近日, Cisco Talos 安全研究人员发现一起利用政治和政府主体的恶意域名来攻击印度和阿富汗人的攻击活动。攻击者利用CVE-2017-11882漏洞通过恶意文档来传播dcRAT和QuasarRAT攻击Windows用户,使用AndroidRAT来攻击移动设备用户。

攻击流程

研究人员发现攻击者利用了2017年发现的一个office公式编辑器漏洞——CVE-2017-11882,然而该漏洞早在2017年11月就被修复了。

感染链中包含恶意RTF文件和传播恶意软件给受害者的powershell脚本。此外,研究人员还使用基于C#的下载器二进制文件来部署恶意软件,但展示给受害者的是看似合法的诱饵图像。

在攻击活动中,攻击者注册了多个政府或政治主体的域名,并不用这些域名来传播恶意软件payload到受害者。感染首先是从受害者从上述的恶意域名中下载RTF文件开始的,如果受害者用有漏洞的office版本打开RFT文件,就会触发任意代码执行漏洞。

最开始的时候,加载器可执行文件会在系统上创建一个开始菜单记录来实现驻留,然后将硬编码的C#代码编译成可执行文件。

源码中的on-the-fly编译

生成的二进制文件就是一个定制的文件枚举器模块,可以发现受感染终端上的所有文档文件,并将文件名和所在路径列表发送给C2服务器。

最后,编译的文件感染器会感染其他非恶意的文件,比如DOCX和EXE文件,其功能就像是蠕虫。

DOCX文件感染器模块

这样,用户打开受感染的文件后,感染就可以通过网络传播。

攻击活动中使用的payload包括:

  • Brave, Google Chrome, Opera, Opera GX, Microsoft Edge, YandexBrowser, Mozilla Firefox浏览器凭证窃取器;
  • 具有远程shell、键盘记录、文件和进程管理功能的DcRAT;
  • 具有凭证窃取、任意命令执行、远程shell和文件管理功能的QuasarRAT;
  • 攻击安卓智能手机的AndroRAT。

攻击溯源

研究人员对该攻击活动进行分析,发现了一个巴基斯坦的IT公司——"Bunse Technologies"。目前,Bunse Technologies该公司的网站已经不能访问,但BleepingComputer研究人员发现了与该公司相关的一个推特账户。

Bunse Technologies推特账户

该公司CEO宣称自己是一个渗透测试研究人员和白帽黑客,并在其个人Facebook账户上发布了反印度和亲塔利班的内容。

此外,Talos研究人员还发现了该CEO的GitHub,其中包含有DcRat的源码。因此,可以推断该CEO就是该攻击背后的开发人员。

黑客GitHub库

更多技术细节参见:https://blog.talosintelligence.com/2021/10/crimeware-targets-afghanistan-india.html

本文翻译自:https://www.bleepingcomputer.com/news/security/political-themed-actor-using-old-ms-office-flaw-to-drop-multiple-rats/如若转载,请注明原文地址。

 

责任编辑:姜华 来源: 嘶吼网
相关推荐

2022-06-15 08:21:49

Linux运维工程师

2022-06-16 17:02:49

微软智能云混合云Azure

2022-06-20 13:34:46

漏洞网络攻击

2022-06-28 10:22:00

2022-06-07 09:59:21

网络安全安全漏洞

2022-06-29 08:13:36

漏洞网络攻击网络安全

2022-06-29 09:19:09

静态代码C语言c代码

2022-06-20 14:57:50

漏洞安全威胁

2022-06-06 14:32:36

2022-06-30 11:03:27

DDoS攻击WAF

2022-06-09 18:04:46

网络攻击网络安全

2022-06-07 10:09:42

新技术人工智能5G

2022-06-17 11:24:52

2022-06-28 12:14:02

DockerLinux

2022-06-06 11:21:22

网络安全工具禁令

2022-06-29 14:46:00

网络攻击数据泄露勒索软件

2022-06-16 07:32:38

VSCodePython插件

2022-06-15 14:40:54

英特尔漏洞

2022-06-09 06:57:53

Windows 10Windows 11微软

2022-06-22 10:23:42

互联网用户IE浏览器退休

同话题下的热门内容

超低成本 DDoS 攻击来袭,看 WAF 如何绝地防护都怪二维码,造就了网友们的社死现场...2022年上半年五大勒索软件攻击事件谁家的加密密钥,写死在代码里?就因为QQ登录二维码,全网发生了大规模的社死黑客组织对印度政府发动了网络攻击如何最大限度提升智能建筑中的网络安全?监管机构禁令频发,谷歌将被禁止追踪数百万用户数据

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号