【安全资讯】Warzone RAT:利用公式编辑器进行投放的窃密木马
引言
研究人员发现攻击者正试图通过诱饵文档诱骗用户以投送Warzone RAT,Warzone RAT是APT组织Confucius攻击活动中使用的恶意软件。Warzone RAT利用了微软方程式编辑器组件中一个非常古老但很流行的漏洞“CVE-2017-11882”。感染链以“.docx”诱饵文档开始,文档打开后,将下载RTF漏洞利用程序(CVE-2017-11882),该漏洞被触发后,muka.dll将被释放并执行,Muka.dll用于下载Warzone RAT。
简况
Warzone RAT 的功能如下:
- · 远程桌面和网络摄像头
- · 权限升级 – UAC绕过
- · 找回密码
- · 下载和执行
- · 实时键盘记录器
- · 远程Shell
- · 持久性
- · Windows Defender 绕过
Warzone RAT的感染链如下:
感染链以“.docx”文件开始,在执行时,它使用模板注入技术下载下一阶段的 RTF 漏洞利用。此漏洞利用提供了一个 dll 嵌入的最终有效载荷,该有效载荷连接到域以连接到 CNC 下载有效载荷 Warzone Rat。然后,文档进一步下载包含漏洞的RTF 文件。muka.dll 嵌入在一个 OLE 对象中,嵌入的 muka.dll 文件包含导出函数 zenu,该 dll 用于向其他程序提供功能。 最后,muka.dll连接到一个恶意域(wordupdate.com),并下载最终的有效载荷Warzone RAT。
建议
攻击者通常通过电子邮件附件等文档文件传播此类恶意软件,因此研究人员建议用户不要访问可疑的电子邮件/附件,并及时更新反病毒软件,以保护系统免受这种复杂的恶意软件的侵害。
失陷指标(IOC)6
这么重要的IOC情报,赶紧
登录
来看看吧~
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享