安全公司曝光黑客利用微软 Office 已知漏洞散播 Remcos RAT 木马程序

据报道，安全厂商Fortinet指出，近期黑客利用了5年前曝光的CVE-2017-0199漏洞，对Office企业用户实施攻击。

据了解，黑客首先发送虚假的业务往来信息网络钓鱼邮件给目标用户，附件中包含带有木马的Excel文件。当接收者打开附件时，文件会要求启用编辑功能才能查看内容。一旦用户点击“启用编辑”按钮，CVE-2017-0199远程代码执行漏洞就会被触发，从而导致设备自动下载并运行黑客准备的HTML文件（HTA）。

这个HTA文件据称采用了JavaScript、VBScript等脚本，结合Base64编码和PowerShell命令进行多层包装，以逃避安全公司的监测。一旦HTA文件启动，将下载黑客准备的dllhost.exe文件到受害者设备上运行，然后相关的exe文件会注入到新进程Vaccinerende.exe中，以传播Remcos RAT木马。

研究人员指出，黑客使用多种反追踪技术来隐藏行踪，包括“异常处理”、“动态API调用”等手段，以规避检测。因此，安全公司建议用户及企业及时更新Office软件，以降低黑客攻击风险。

广告声明：文中可能包含对外跳转链接，仅供参考使用。