详细内容或原文请订阅后点击阅览
Remcos RAT 现在正在利用 Microsoft Excel 文件
无
来源:Packet Storm _恶意软件一项利用 2017 年高严重性漏洞的新网络钓鱼活动被发现正在传播 Remcos 远程访问木马 (RAT) 的新变种,该木马是 2021 年十大恶意软件之一。
Remcos在 11 月 8 日的一篇博客文章中,FortiGuard Labs 的研究人员表示,新的 RAT 是由一封包含恶意 Excel 文档的网络钓鱼电子邮件发起的。
11 月 8 日博客文章然后,攻击者使用新的 RAT 来利用旧漏洞 - CVE-2017-0199 - 该漏洞利用了 Microsoft Office 和 WordPad 解析特制文件的方式。一旦受害者打开附加的 Excel 文件,它就会让攻击者获得对受感染系统的后门访问权限,然后收集各种敏感信息。
CVE-2017-0199FortiGuard 研究人员写道:“一旦 Excel 文件在受害者的设备上打开,CVE-2017-0199 就会被利用。然后它会下载一个 HTA 文件并在设备上执行。利用多种脚本语言下载 EXE 文件 (dllhost.exe),然后启动 32 位 PowerShell 进程,从提取的文件中加载恶意代码并在 PowerShell 进程中执行。”
PowerShellSectigo 高级研究员 Jason Soroko 解释说,在新的活动中使用较旧的漏洞表明许多系统仍未打补丁。Soroko 表示,攻击者正在利用组织中延迟的补丁管理,使它们面临已知漏洞的风险。
“CVE-2017-0199 的漏洞利用工具包和教程在地下论坛上随处可见,降低了进入门槛,”Soroko 说。“由于攻击依赖于说服用户打开文档,攻击者可以利用人为漏洞,这通常比绕过技术保障措施更容易。”
Hudak 确定了几种可以帮助组织防止未来发生类似漏洞的选项: