背景

近期，安恒威胁情报中心猎影实验室在日常威胁追踪过程中捕获到一个以“这是拜登对主要核武器问题的期望”（译文）为主题的恶意Doc文档。通过对样本进行详细分析，我们发现该样本与Confucius APT组织有极大关联，疑似该组织针对相关目标人员发起新的网络攻击活动。

其中诱饵文档内容来源于某国外新闻网站的报道，如下所示：

诱饵文档执行后会通过远程模板注入技术从远程服务器（http://recent.wordupdate[.]com/cloud/sync/upgrade）拉取含有CVE-2017-11882漏洞的Rtf文档，执行恶意Shellcode代码。

随后在temp目录下释放下载器（muka.dll），并通过内嵌地址：http://wordupdate[.]com/refresh/content从服务器下载加载器（new.exe）保存到" C:\intel "路径下。

加载器首先通过COM组件在系统启动菜单中创建lnk快捷方式实现持久化，然后从自身解密Shellcode执行，并在内存中解密出最终的DLL载荷（ Warzone RAT ）。