时间:2017-11-28 来源:互联网 浏览量:
黑客正在使用最近披露的Microsoft Office漏洞来分发能够控制受感染系统的后门恶意软件,使攻击者能够提取文件,执行命令等等。
Cobalt恶意软件具有如此强大的功能,因为它使用了众所周知的合法渗透测试工具,Cobalt Strike(一种用于Adversary Simulations和Red Team Operations的软件),可用于访问系统中的隐蔽通道。
有助于这项运动更有效的是使用已经运行了17年的Microsoft Word漏洞利用,但是本月早些时候才被披露和修补。
在CVE-2017-11882漏洞是一个远程执行代码漏洞,在微软Office软件中存在的软件处理的存储器中的某些对象的方式的结果。
攻击者可以利用这个漏洞运行任意代码,如果用户拥有管理员权限,则允许黑客发布命令或者传递可以控制系统的恶意软件。
虽然这个漏洞在数周前才被披露,Fortinet的研究人员发现攻击者已经很快利用了这个漏洞,希望在用户安装相关安全更新之前分发恶意软件。
这个特定的广告系列针对俄语的用户发送了一封垃圾邮件,声称是来自Visa的关于payWave服务规则变更的通知。
该消息包含受密码保护的RTF文档,向用户提供解锁凭据。此RTF文件包含恶意代码,但密码保护有助于隐藏它的检测。
一旦打开,用户将看到一个几乎空白的文档,除了“启用编辑”这个字。但是,正如许多恶意软件活动一样,这个文档的奇怪特性掩盖了它的真实意图,在这种情况下,运行一个PowerShell脚本来下载Cobalt Strike并控制受害者的系统。
一旦安装,攻击者就可以控制受害者的系统,并通过Cobalt Strike命令在网络上移动。
“威胁演员一直在寻找利用这些漏洞进行恶意软件攻击的漏洞,无论是新的漏洞还是旧的漏洞,无论是否已经发布,我们都经常看到利用已修补漏洞的恶意软件活动几个月甚至几年,“Fortinet的研究人员Jasper手册和Joie Salvio写道
他们补充道:“这可能来自于这样的假设:仍然有大量的用户不认真对待软件更新,可悲的是,情况往往如此。
据悉:Microsoft Office用户可以下载针对CVE-2017-11882漏洞的关键更新。