CiscoTalos研究人员发现了利用Microsoftoffice古老漏洞释放RAT的攻击活动。思科Talos安全研究人员最近发现了一项针对印度人和阿富汗人的活动,该活动使用政治和政府主体的恶意域名。攻击者利用CVE-2017-11882漏洞传播dcRAT和QuasarRAT通过恶意文档攻击Windows用户,利用AndroidRAT攻击移动设备用户。攻击过程研究人员发现,攻击者利用了2017年发现的office公式编辑器漏洞——CVE-2017-11882,但该漏洞早在2017年11月就被修复,感染链由恶意RTF文件和传播恶意软件的powershell脚本组成给受害者。此外,研究人员还使用基于C#的下载程序二进制文件来部署恶意软件,但向受害者提供看似合法的诱饵图像。在攻击活动中,攻击者注册了多个政府或政治实体的域名,并没有使用这些域名向受害者传播恶意软件负载。当受害者从上述恶意域名下载RTF文件时,感染首先开始。如果受害者使用有漏洞的office版本打开RFT文件,就会触发任意代码执行漏洞。最初,加载程序可执行文件在系统上创建一个开始菜单条目以用于持久化,然后将硬编码的C#代码编译成可执行文件。源代码中动态编译生成的二进制文件是一个自定义的文件枚举器模块,可以发现被感染终端上的所有文档文件,并将文件名和路径列表发送给C2服务器。最后,编译后的文件感染器感染其他非恶意文件,如DOCX和EXE文件,其功能类似于蠕虫。DOCX文件感染模块这样,一旦用户打开受感染的文件,感染就可以在网络上传播。攻击中使用的有效负载包括:Brave、GoogleChrome、Opera、OperaGX、MicrosoftEdge、YandexBrowser、MozillaFirefox浏览器凭据窃取程序;DcRAT具有远程shell、键盘记录、文件和进程管理功能;凭证窃取、用于任意命令执行的QuasarRAT、远程shell和文件管理功能;用于攻击Android智能手机的AndroRAT。攻击溯源研究人员分析了攻击活动,发现了一家巴基斯坦IT公司——“BunseTechnologies”。目前,BunseTechnologies的网站已无法访问,但BleepingComputer研究人员发现了一个与该公司相关的Twitter帐户。BunseTechnologies推特账号该公司首席执行官宣称自己是一名渗透测试研究员和白帽黑客,并在他的个人Facebook账号上发布了反印度和亲塔利班的内容。此外,Talos研究人员还发现了CEO的GitHub,其中包含DcRat的源代码。因此可以推断,CEO就是这次攻击的幕后开发者。黑客GitHub库更多技术细节见:https://blog.talosintelligence.com/2021/10/crimeware-targets-afghanistan-india.html本文翻译自:https://www.bleepingcomputer.com/news/security/political-themed-actor-using-old-ms-office-flaw-to-drop-multiple-rats/如有转载请注明出处。
