利用微软office七年漏洞！乌克兰遭网络攻击|MicrosoftOffice|office|乌克兰|微软账户|网络攻击|财务会计|财务报表|黑客

4月30日

摘要

网络安全研究人员发现，这次针对乌克兰的行动利用了微软Office中一个近七年的漏洞，将Cobalt Strike传送到被攻击的系统上。

这次攻击链在2023年底发生，据Deep Instinct公司称，攻击者使用了一个PowerPoint幻灯片文件("signal-2023-12-20-160512.ppsx")作为起点，文件名暗示它可能是通过Signal即时通讯应用分享的。

尽管如此，实际上并没有证据表明PPSX文件是以这种方式分发的，尽管乌克兰计算机应急响应小组(CERT-UA)已经发现了两次不同的活动，它们都使用了这个通讯应用作为恶意软件的传播途径。

就在上周，该机构披露，乌克兰武装部队正日益成为UAC-0184组织通过通讯和约会平台传播恶意软件的目标，这些恶意软件包括HijackLoader（又名GHOSTPULSE和SHADOWLADDER）、XWorm和Remcos RAT，以及开源程序如sigtop和tusc，用于从计算机中窃取数据。

"PPSX（PowerPoint幻灯片）文件似乎是美国军队的一个旧版清雷刀（MCB）使用说明书，"安全研究员Ivan Kosarev说。"PPSX文件包含了一个远程关联到外部OLE对象的链接。"

这涉及到对CVE-2017-8570（CVSS评分：7.8）的利用，这是一个现已修补的Office远程代码执行漏洞，如果攻击者能够说服受害者打开一个特制的文件，就可以执行任意操作，加载托管在weavesilk[.]space上的远程脚本。

这个高度混淆的脚本随后启动一个包含JavaScript代码的HTML文件，该文件通过Windows注册表在主机上建立持久性，并且释放一个伪装成Cisco AnyConnect VPN客户端的下一阶段有效载荷。

该有效载荷包含一个动态链接库（DLL），最终将一个破解的Cobalt Strike Beacon（一个合法的渗透测试工具）直接注入到系统内存中，并等待来自命令和控制（C2）服务器("petapixel[.]fun")的进一步指令。

这个DLL还包含了一些功能，可以检查它是否在虚拟机中执行，并规避安全软件的检测。

Deep Instinct表示，它既无法将这些攻击与特定的威胁行为者或组织联系起来，也不能排除这是一次红队演练的可能性。目前还不清楚入侵的确切目标是什么。

"诱饵包含了与军事相关的内容，这表明它是针对军事人员的，"Kosarev说。

"但是，域名weavesilk[.]space和petapixel[.]fun伪装成了一个不太知名的生成艺术网站（weavesilk[.]com）和一个流行的摄影网站（petapixel[.]com）。这两者并无关联，我们对于攻击者为何会特意使用这两个域名来欺骗军事人员感到有些困惑。"

Sandworm针对乌克兰的关键基础设施#

这次披露是在CERT-UA揭示了大约20家乌克兰的能源、水和供暖供应商已经成为一个名为UAC-0133的俄罗斯政府赞助的组织的目标之后，该组织是Sandworm（又名APT44、FROZENBARENTS、Seashell Blizzard、UAC-0002和Voodoo Bear）的一个子集，该组织对乌克兰进行了大量的破坏性行动。

这些攻击旨在破坏关键操作，涉及使用像Kapeka（又名ICYWELL、KnuckleTouch、QUEUESEED和wrongsens）及其Linux变种BIASBOAT，以及GOSSIPFLOW和LOADGRIP等恶意软件。

GOSSIPFLOW是一个基于Golang的SOCKS5代理，而LOADGRIP是一个用C编写的ELF二进制文件，用于在被攻击的Linux主机上加载BIASBOAT。