Cisco Talos研究人員發現一起利用古老的微軟office漏洞來釋放RAT的攻擊活動。

　　近日， Cisco Talos 安全研究人員發現一起利用政治和政府主體的惡意域名來攻擊印度和阿富汗人的攻擊活動。攻擊者利用CVE-2017-11882漏洞通過惡意文檔來傳播dcRAT和QuasarRAT攻擊Windows用戶，使用AndroidRAT來攻擊移動設備用戶。

　　攻擊流程

　　研究人員發現攻擊者利用了2017年發現的一個office公式編輯器漏洞——CVE-2017-11882，然而該漏洞早在2017年11月就被修復了。

　　感染鏈中包含惡意RTF文件和傳播惡意軟件給受害者的powershell腳本。此外，研究人員還使用基于C#的下載器二進制文件來部署惡意軟件，但展示給受害者的是看似合法的誘餌圖像。

　　在攻擊活動中，攻擊者注冊了多個政府或政治主體的域名，并不用這些域名來傳播惡意軟件payload到受害者。感染首先是從受害者從上述的惡意域名中下載RTF文件開始的，如果受害者用有漏洞的office版本打開RFT文件，就會觸發任意代碼執行漏洞。

　　最開始的時候，加載器可執行文件會在系統上創建一個開始菜單記錄來實現駐留，然后將硬編碼的C#代碼編譯成可執行文件。

　　源碼中的on-the-fly編譯

　　生成的二進制文件就是一個定制的文件枚舉器模塊，可以發現受感染終端上的所有文檔文件，并將文件名和所在路徑列表發送給C2服務器。

　　最后，編譯的文件感染器會感染其他非惡意的文件，比如DOCX和EXE文件，其功能就像是蠕蟲。

　　DOCX文件感染器模塊

　　這樣，用戶打開受感染的文件后，感染就可以通過網絡傳播。

　　攻擊活動中使用的payload包括：

　　?Brave, Google Chrome, Opera, Opera GX, Microsoft Edge, YandexBrowser, Mozilla Firefox瀏覽器憑證竊取器；

　　?具有遠程shell、鍵盤記錄、文件和進程管理功能的DcRAT；

　　?具有憑證竊取、任意命令執行、遠程shell和文件管理功能的QuasarRAT；

　　?攻擊安卓智能手機的AndroRAT。

　　攻擊溯源

　　研究人員對該攻擊活動進行分析，發現了一個巴基斯坦的IT公司——“Bunse Technologies”。目前，Bunse Technologies該公司的網站已經不能訪問，但BleepingComputer研究人員發現了與該公司相關的一個推特賬戶。

　　Bunse Technologies推特賬戶

　　該公司CEO宣稱自己是一個滲透測試研究人員和白帽黑客，并在其個人Facebook賬戶上發布了反印度和親塔利班的內容。

　　此外，Talos研究人員還發現了該CEO的GitHub，其中包含有DcRat的源碼。因此，可以推斷該CEO就是該攻擊背后的開發人員。

　　黑客GitHub庫