研究人员发现黑客正在利用Follina漏洞部署Rozena后门
一个新观察到的网络钓鱼活动正在利最近披露的 Follina 安全漏洞在 Windows 系统上分发以前从未记录的后门。
“Rozena 是一种恶意的后门软件,攻击者能够将shell远程注入到受害者的设备,”Fortinet FortiGuard 实验室研究员 Cara Lin在本周的一份报告中说道。
现已修复的漏洞编号为CVE-2022-30190的Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞,自2022年5月下旬曝光以来,在最近几周受到了广泛的利用。
Fortinet 观察到的最新攻击链,起源于一个武器化的Office 文档,当你打开该文档时,它会连接到Discord CDN URL以检索 HTML 文件(“ index.htm ”),然后使用PowerShell 命令从同一CDN 附件空间下载下一个攻击阶段的有效负载。
这包括Rozena植入程序(“Word.exe”)和一个批处理文件(“cd.bat”),旨在终止MSDT进程,然后通过修改 Windows 注册表建立持久化的后门,并下载一个无害的 Word 文档作为掩饰。
恶意软件的核心功能是向攻击者的主机(“microsofto.duckdns[.]org”)注入启动后的反向shell的shellcode,最终允许攻击者对受感染系统进行控制、监视和捕获所需信息,同时还维持一个受感染系统的后门。
利用Follina漏洞,然后定制恶意Word 文档,依赖Microsoft Excel、Windows 快捷方式 (LNK) 和 ISO 图像文件作为释放器将Emotet、QBot、IcedID和Bumblebee等恶意软件通过社会工程攻击部署到受害者的设备。
据称,dropper 是通过电子邮件分发,这些电子邮件直接包含 dropper 或受密码保护的 ZIP 作为附件、打开时提取 dropper 的 HTML 文件或电子邮件正文中下载 dropper 的链接。
在4月初发现的攻击,主要是带有XLM 宏的 Excel 文件,但是微软在大约同一时间对进行更新并默认阻止宏,迫使攻击者采用HTML 走私以及 .LNK 和 .ISO 文件等替代方法。
上个月,Cyble 披露了一种名为Quantum的恶意软件工具的详细信息,该工具在暗网上出售,以便为网络犯罪分子提供构建恶意 .LNK 和 .ISO 文件的能力。
值得注意的是,无论是通过电子邮件网络钓鱼还是其他方式,对于希望在Windows 系统上投放勒索软件和其他恶意软件的攻击者来说,宏一直是一种久经考验的攻击载荷。
此后,微软暂时暂停了在从互联网下载的文件中禁用 Office 宏的计划,该公司告诉黑客新闻,它正在花时间进行“额外的更改以增强可用性”。