近期发现了一种新的攻击手法——利用三个Microsoft Office漏洞进行恶意软件 Zyklon 的传播活动 。该活动主要针对电信、保险和金融服务等公司,试图收集其密码和加密货币钱包数据,并为未来可能发生的DDoS (分布式拒绝服务) 攻击收集目标列表。
Zyklon 恶意软件
Zyklon是一款HTTP僵尸网络恶意软件 ,自2016 年就开始出现,通过Tor 匿名网络与其 C&C (命令和控制)服务器进行通信,从而允许攻击者远程窃取密钥和敏感数据,比如存储在 web 浏览器和电子邮件客户端的密码。此外,根据 FireEye 最近发布的报告,Zyklon 还是一个公开的全功能后门,能够进行键盘记录、密码采集、下载和执行额外的插件,包括秘密使用受感染的系统进行 DDoS 攻击和加密货币挖掘。
而在此次攻击活动中,背后的攻击者利用 Microsoft Office 的三个漏洞通过鱼叉式网络钓鱼电子邮件传播 Zyklon 恶意软件,这些邮件通常会附带一个包含恶意 Office 文档的 ZIP 文件。一旦用户打开这些恶意文件就会立即运行一个 PowerShell 脚本,并从 C&C 服务器下载最终 playload。这样一来, 用户的计算机设备就会成功受到感染。
Zyklon恶意软件利用的三个 Microsoft Office 漏洞:
第一个漏洞:CVE-2017-8759 是 Microsoft 去年十月修补 的 .NET 框架漏洞。打开受感染文档的目标将允许攻击者安装恶意程序,处理数据并创建新的特权帐户。 受感染的 DOC 文件包含嵌入的 OLE 对象,该对象在执行时触发从存储的 URL 下载的另外的 DOC 文件。
第二个漏洞:CVE-2017-11882 是在 Microsoft 公式编辑器的 Office 可执行文件中发现的远程代码执行错误,微软已于 2017 年 11 月为其发布了补丁。 该漏洞与以前的漏洞类似,打开特制 DOC 的用户将自动下载包含最终 playload 的 PowerShell 命令的 DOC 文件。
第三个漏洞:在于动态数据交换( DDE ),但微软不承认该漏洞的存在,而是坚称 DDE 只是一个产品功能,是建立应用程序如何通过共享内存发送消息和共享数据得协议。然而,在过去的一年中,攻击者利用 DDE 在恶意活动取得了巨大的成功,比如在无需启用宏或内存损坏情况下在目标设备上执行代码。
目前越来越多的攻击者利用恶意软件来执行不同的任务,并且很可能会超出当前攻击目标的范围,因此对于所有行业来说保持高度警惕性变得尤为重要。