Cisco Talos研究人員發(fā)現(xiàn)一起利用古老的微軟office漏洞來釋放RAT的攻擊活動。

　　近日， Cisco Talos 安全研究人員發(fā)現(xiàn)一起利用政治和政府主體的惡意域名來攻擊印度和阿富汗人的攻擊活動。攻擊者利用CVE-2017-11882漏洞通過惡意文檔來傳播dcRAT和QuasarRAT攻擊Windows用戶，使用AndroidRAT來攻擊移動設(shè)備用戶。

　　攻擊流程

　　研究人員發(fā)現(xiàn)攻擊者利用了2017年發(fā)現(xiàn)的一個office公式編輯器漏洞——CVE-2017-11882，然而該漏洞早在2017年11月就被修復(fù)了。

　　感染鏈中包含惡意RTF文件和傳播惡意軟件給受害者的powershell腳本。此外，研究人員還使用基于C#的下載器二進(jìn)制文件來部署惡意軟件，但展示給受害者的是看似合法的誘餌圖像。

　　在攻擊活動中，攻擊者注冊了多個政府或政治主體的域名，并不用這些域名來傳播惡意軟件payload到受害者。感染首先是從受害者從上述的惡意域名中下載RTF文件開始的，如果受害者用有漏洞的office版本打開RFT文件，就會觸發(fā)任意代碼執(zhí)行漏洞。

　　最開始的時候，加載器可執(zhí)行文件會在系統(tǒng)上創(chuàng)建一個開始菜單記錄來實現(xiàn)駐留，然后將硬編碼的C#代碼編譯成可執(zhí)行文件。

　　源碼中的on-the-fly編譯

　　生成的二進(jìn)制文件就是一個定制的文件枚舉器模塊，可以發(fā)現(xiàn)受感染終端上的所有文檔文件，并將文件名和所在路徑列表發(fā)送給C2服務(wù)器。

　　最后，編譯的文件感染器會感染其他非惡意的文件，比如DOCX和EXE文件，其功能就像是蠕蟲。

　　DOCX文件感染器模塊

　　這樣，用戶打開受感染的文件后，感染就可以通過網(wǎng)絡(luò)傳播。

　　攻擊活動中使用的payload包括：

　　?Brave, Google Chrome, Opera, Opera GX, Microsoft Edge, YandexBrowser, Mozilla Firefox瀏覽器憑證竊取器；

　　?具有遠(yuǎn)程shell、鍵盤記錄、文件和進(jìn)程管理功能的DcRAT；

　　?具有憑證竊取、任意命令執(zhí)行、遠(yuǎn)程shell和文件管理功能的QuasarRAT；

　　?攻擊安卓智能手機(jī)的AndroRAT。

　　攻擊溯源

　　研究人員對該攻擊活動進(jìn)行分析，發(fā)現(xiàn)了一個巴基斯坦的IT公司——“Bunse Technologies”。目前，Bunse Technologies該公司的網(wǎng)站已經(jīng)不能訪問，但BleepingComputer研究人員發(fā)現(xiàn)了與該公司相關(guān)的一個推特賬戶。

　　Bunse Technologies推特賬戶

　　該公司CEO宣稱自己是一個滲透測試研究人員和白帽黑客，并在其個人Facebook賬戶上發(fā)布了反印度和親塔利班的內(nèi)容。

　　此外，Talos研究人員還發(fā)現(xiàn)了該CEO的GitHub，其中包含有DcRat的源碼。因此，可以推斷該CEO就是該攻擊背后的開發(fā)人員。

　　黑客GitHub庫