【安全资讯】摩诃草组织以巴基斯坦相关政府机构文件为诱饵的攻击活动分析

近期，研究人员捕获了Patchwork组织的多个攻击样本。本次捕获的两例攻击样本为RTF文件，且均携带CVE-2017-11882公式编辑器漏洞。在此攻击活动中，攻击者使用带漏洞的RTF文件进行鱼叉攻击，当受害者点击执行诱饵文件之后，将会通过漏洞执行变种BADNEWS木马。该组织的攻击手段具有以下特点：

1. 熟悉目标国家的政府机构，使用政府机构图标增强诱饵的可信性；

2. 初始感染文档使用CVE-2017-11882公式编辑器漏洞执行后续载荷；

3. 提升加密效率，使用RC4算法替换AES-CBC-128算法对数据的加密。