一群黑客正在使用Word文檔中的遠程桌面ActiveX控件在Windows 10上自動執(zhí)行一個名為Ostap的惡意軟件下載程序�����,該程序最近被TrickBot用來傳送����。
安全研究人員發(fā)現(xiàn)了數(shù)十個文件�����,這些文件傳遞了第一個惡意軟件有效負載��,這表明行動規(guī)模更大��。
從網(wǎng)絡(luò)釣魚開始
由Bromium研究人員進行廣泛分析的Ostap 是通過帶有惡意宏代碼并包含據(jù)稱顯示加密內(nèi)容的圖像的Word文檔發(fā)送的���。這是誘使受害者在文檔中啟用宏的詭計。
威脅者通過偽裝成丟失付款通知的網(wǎng)絡(luò)釣魚電子郵件來發(fā)送惡意文檔���。附件中是郵件中提及的偽造發(fā)票�。
Morphisec的安全研究人員分析了中毒的文檔�,并注意到嵌入式圖像下方隱藏了一個ActiveX控件。
仔細觀察發(fā)現(xiàn)���,威脅參與者使用了MsRdpClient10NotSafeForScripting類�,該類用于遠程控制�����。Windows 10是最低受支持的客戶端�����,Windows Server 2016是最低受支持的服務(wù)器�����。
可以將ActiveX控件添加到Word文檔中的文本或圖形圖層�����,以使其具有交互性��。
聰明地交付和執(zhí)行
Morphisec的Michael Gorelik 在今天的一份報告中寫道��,文檔中存在Ostap下載器的java script代碼�����,該字體的字體與背景顏色相同���,因此肉眼看不見�����。
另一個有趣的發(fā)現(xiàn)是�,攻擊者并未在與遠程桌面服務(wù)器建立連接所需的MsRdpClient10NotSafeForScripting類中填充“服務(wù)器”字段。
攻擊者并不能因此而忽略�����,因為發(fā)生的錯誤有助于稍后執(zhí)行惡意代碼��,從而逃避了檢測�。
在檢查宏時,研究人員發(fā)現(xiàn)“ _ OnDisconnected ”函數(shù)充當觸發(fā)器��,但僅在由于無法連接到不存在的服務(wù)器而返回錯誤后才起作用�����。
“除非錯誤號與“ disconnectReasonDNSLookupFailed”完全匹配(260)���,否則OSTAP將不會執(zhí)行���; OSTAP wscript命令由取決于錯誤號計算的字符組合而成�! -邁克爾·戈列里克(Morphisec)
然后,在采用.BAT文件的形式后立即執(zhí)行后門�,并關(guān)閉文檔形式�����。
Gorelik告訴BleepingComputer���,該角色不是唯一依靠ActiveX控件執(zhí)行惡意軟件的角色����。一月份出現(xiàn)的其他參與者使用了 易于檢測的OnConnecting方法。
相比之下�,OnDiconnected方法需要特定的返回值,并且在DNS查找完成時也存在延遲��。這對攻擊者有利��,因為掃描程序可能會錯過惡意活動并將文件標記為良性���。
[更新02/28/2020�,美國東部時間16:01]:更新文章以反映Morphisec的一項更正���,該錯誤涉及誤識別FIN7威脅參與者通常使用的帶有Griffon后門的Ostap下載程序�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
