時間拉回 2017 年 9 月,當時 Microsoft 修正了 CVE-2017-11882 這個可讓駭客從遠端執行程式的 Microsoft Office 漏洞。但這仍無法阻止 Cobalt 網路犯罪集團繼續利用此漏洞來散布各種惡意程式,例如FAREIT、Ursnif 以及某個破解版 Loki 資訊竊取程式 (這是一個以竊取密碼和加密虛擬貨幣錢包為賣點的鍵盤側錄程式)。
最近,趨勢科技發現駭客又再次利用 CVE-2017-11882 漏洞發動攻擊,這次採用的是一種罕見的方法,透過 Microsoft Windows 作業系統中的 Windows Installer 服務。此手法有別於之前使用 Windows 的 mshta.exe 程式來執行 Powershell 腳本以下載並執行惡意檔案的作法,而是透過 Windows Installer 服務當中的「msiexec.exe」程式來執行惡意檔案。
完整感染過程
圖 1:完整感染過程。
我們所分析到的樣本似乎某一波垃圾郵件所使用的附件檔案,這些垃圾郵件會要求收件人確認寄件人所收到的一筆款項。電子郵件內容含有韓文撰寫的文字,大意是「您好,請檢查一下您的電腦是否中毒或感染惡意程式」,似乎在提醒收件人小心別中毒。
此外,電子郵件也附了一個名為「Payment copy.Doc」的文件檔案,該檔案看似一份付款確認單,但其實是個木馬程式 (趨勢科技命名為:TROJ_CVE201711882.SM),它會攻擊 CVE-2017-11882 漏洞。
圖 2:隨附惡意文件會攻擊 CVE-2017-11882 漏洞的垃圾郵件。 繼續閱讀
