黑客利用微软浏览器漏洞在目标PC上部署VBA恶意软件

一名身份不明的黑客一直在利用 Internet Explorer 浏览器中现已修补的零日漏洞来提供功能齐全的基于 VBA 的远程访问木马 (RAT)，该木马能够访问存储在受感染 Windows 系统中的文件，并下载和执行恶意负载作为“不寻常”活动的一部分。

据发现可疑 Word 的网络安全公司 Malwarebytes 称，该后门是通过名为“Manifest.docx”的诱饵文档分发的，该文档从嵌入式模板加载漏洞的利用代码，然后执行 shellcode 以部署 RAT。 2021 年 7 月 21 日提交。

这份带有恶意软件的文件声称是一份“克里米亚居民宣言”，呼吁公民反对俄罗斯总统弗拉基米尔·普京，并“创建一个名为‘人民抵抗运动’的统一平台。”

Internet Explorer 漏洞的编号为CVE-2021-26411，值得注意的是它被朝鲜支持的 Lazarus Group 滥用，以针对从事漏洞研究和开发的安全研究人员。

今年 2 月初，韩国网络安全公司 ENKI透露，这家与国家保持一致的黑客团体尝试使用恶意 MHTML 文件攻击其安全研究人员，但未成功，打开这些文件后，会从远程服务器下载两个有效负载，其中一个包含零-反对 Internet Explorer 的一天。微软在3 月份的补丁星期二更新中解决了这个问题。

Internet Explorer 漏洞利用是用于部署 RAT 的两种方法之一，另一种方法依赖于社会工程组件，该组件涉及下载和执行包含植入物的远程宏武器化模板。无论感染链如何，使用双重攻击向量很可能是为了增加找到进入目标机器的路径的可能性。

“虽然这两种技术都依赖模板注入来删除功能齐全的远程访问木马，但 Lazarus APT 之前使用的 IE 漏洞 (CVE-2021-26411) 是一个不寻常的发现，”Malwarebytes 研究员 Hossein Jazi 在与他人共享的报告中说黑客新闻。“攻击者可能希望将社会工程和漏洞利用结合起来，以最大限度地提高感染目标的机会。”

除了收集系统元数据外，VBA RAT 还被编排以识别在受感染主机上运行的防病毒产品，并执行它从攻击者控制的服务器接收的命令，包括读取、删除和下载任意文件，并将这些命令的结果泄露回服务器。

Malwarebytes 还发现了一个名为“Ekipa”的基于 PHP 的面板，攻击者使用它来跟踪受害者并查看有关导致成功入侵的作案手法的信息，突出显示使用 IE 零日漏洞的成功利用和执行鼠。

“随着俄罗斯和乌克兰之间围绕克里米亚的冲突仍在继续，网络攻击也在增加，”贾齐说。“诱饵文件包含一份宣言，显示了这次袭击背后的可能动机（克里米亚）和目标（俄罗斯和亲俄人士）。然而，它也可能被用作虚假标志。”