【ITBEAR】近日,安全领域巨头Fortinet揭露了一种新型网络攻击手段,黑客针对Office企业用户展开了一场精心策划的入侵行动。据悉,此次攻击利用了早在5年前就已公布的CVE-2017-0199漏洞,该漏洞使得黑客能够在用户设备上远程执行恶意代码。
攻击过程中,黑客首先发送大量伪装成正常业务通信的网络钓鱼邮件,邮件附件中潜藏着木马程序。当用户不慎打开这些看似无害的附件时,系统会提示文件受保护,需启用编辑功能方可查看。然而,一旦用户依提示操作,便会触发该远程代码执行漏洞。
紧接着,黑客预设的HTML应用程序(HTA)文件将被自动下载并在用户设备上运行。这个文件经过Java、VB等脚本语言的多重封装,以躲避安全检测。HTA文件运行后,会进一步下载并执行名为dllhost.exe的恶意程序,该程序随后将恶意代码注入到新创建的Vaccinerende.exe进程中,从而完成Remcos RAT木马的传播。
研究人员在分析此次攻击时发现,黑客为了掩盖行踪,采用了包括“异常处理”和“动态API调用”在内的多种反追踪技术。这些手段使得黑客能够在实施攻击的同时,有效规避安全系统的检测。
面对这一威胁,专家提醒广大企业和个人用户务必及时更新Office软件,并加强网络安全防护措施。只有保持警惕并采取切实有效的安全措施,才能在这场与网络黑客的较量中立于不败之地。
