近日,微软披露了MicrosoftOffice远程代码执行漏洞CVE-2022-30190。Avast研究人员发现,澳大利亚电信公司VOIPSTelecom的帕劳分公司已被入侵以传播恶意软件。一旦受害者打开恶意文档,恶意软件就会通过恶意网站下载并执行。复杂攻击攻击分为多个阶段,比较复杂。攻击者利用LOLBAS(LivingofftheLandBinariesAndScripts)技术在不登陆可执行文件的情况下利用CVE-2022-30190漏洞的恶意代码,最大限度地降低端点检出可执行文件的可能性。为了保持最大程度的隐蔽性,攻击者在几个阶段使用了合法签名。第一阶段在被攻陷的网站上部署了一个名为robots.txt的可执行文件,这样即使在日志中找到了,也能尽可能的避开管理者的注意。调用MicrosoftSupportDiagnosticTool程序(msdt.exe),下载robots.txt并保存为Sihost.exe,最后执行恶意程序。下载文件网络流量解码命令第二阶段当msdt.exe执行Sihost.exe时,样本会下载第二阶段的Loader(b63fbf80351b3480c62a6a5158334ec8e91fecd057f6c19e4b4dd3febaa9d447)。下载的Loader用于下载和解密第三阶段的恶意文件,该文件是一个加密的favicon.svg文件,也部署在同一台Web服务器上。解密操作样例下载对第三阶段加密文件favicon.svg进行解密,将下载第四阶段样例。解密示例Sample示例下载这些示例也部署在palau.voipstelecom.com.au上,名称为Sevntx64.exe和Sevntx.lnk。第四阶段恶意样本在执行时会加载一个66kb的Shellcode程序。该程序名为Sevntx64.exe,是AsyncRAT家族的恶意程序,使用与Sihost.exe相同的证书进行签名。在加载Shellcode的第五阶段感染链末端,攻击者部署了AsyncRAT远程控制木马(aba9b566dc23169414cb6927ab5368b590529202df41bfd5dded9f7e62b91479)。该木马与palau.voipstelecom.com.au的443端口进行C&C通信。回溯AsyncRAT配置信息研究人员还发现了该恶意软件的早期版本:
