新发现的钓鱼攻击利用2017年的高危漏洞

关键要点

• 新的钓鱼攻击正在利用2017年发现的高危漏洞CVE-2017-0199。
• 攻击者通过邮件传播带有恶意Excel文档的Remcos远程访问木马（RAT）。
• 此次攻击强调了系统未及时打补丁的风险，并需要增强员工的网络安全意识。

一项新的钓鱼攻击活动已经被发现，它利用了2017年的一个高危漏洞，传播一种新的远程访问木马（RAT）变种——，这曾是2021年十大恶意软件之一。

在中，FortiGuardLabs的研究人员指出，这种新的RAT是通过包含恶意Excel文档的钓鱼邮件启动的。

攻击者随后利用该RAT来开发旧漏洞——，此漏洞利用了MicrosoftOffice和WordPad解析特别构造文件的方式。一旦受害者打开附件中的Excel文件，攻击者便可以获取受感染系统的后门访问权限，并收集各种敏感信息。

“CVE-2017-0199在受害者设备上打开Excel文件后被利用，”FortiGuard的研究人员写道。“它随后下载一个HTA文件并在设备上执行。多个脚本语言被用于下载一个EXE文件（dllhost.exe），然后启动32位PowerShell进程，从提取的文件中加载恶意代码并执行。”

Sectigo的高级研究员JasonSoroko表示，采用旧漏洞进行新攻击活动显示许多系统仍然未打补丁。Soroko提醒，攻击者利用组织内延迟的补丁管理，使其暴露于已知漏洞的风险之中。

“针对CVE-2017-0199的利用工具和教程在地下论坛上随处可见，降低了入侵的门槛。”Soroko说道，“由于攻击依赖于说服用户打开文件，攻击者可以利用人性的弱点，这是往往比绕过技术防护更容易的方式。”

Keeper Security的联合创始人兼CEO DarrenGuccione指出，在这次攻击中，攻击者使用伪造的采购订单邮件诱使接收者打开恶意Excel附件。一旦打开，该文件便利用这个旧的远程代码执行漏洞，触发恶意脚本并最终启动RemcosRAT。恶意软件通过使用反检测技术，能够绕过常规的杀毒工具，使其难以被阻止。

“防止这些攻击需要技术防御与员工意识的结合，”Guccione说。“组织应确保Office应用程序定期更新，启用邮件过滤，并提供培训以帮助员工识别复杂的钓鱼攻击。识别异常发件人、紧急请求和可疑附件等警示信号可以帮助减少人为错误。定期培训和坚实的安全措施使员工能够成为第一道防线。”

Inversion6的事件响应主管Tyler Hudak指出，这个Excel漏洞发布于2017年，且不影响Microsoft Office2016及之后的版本和Windows Vista及Windows Server2012之后的操作系统。Hudak表示，如果组织有良好的补丁管理程序或及时更新到新版Office（包括Microsoft365）或Windows，则不会受到该漏洞的影响。然而，如果没有更新，这个漏洞可能会导致组织内部系统受到攻击。

Hudak提出了一些防止组织将来遇到类似漏洞的建议：

建议 | 说明
—|—
确保安全补丁及时部署 | 组织应部署及时的安全补丁到操作系统和程序（如Office）。
设置邮件安全软件 | 实施邮件安全软件和系统，以检查和屏蔽进入附件的可疑或恶意代码。
监控系统与网络活动 | 监控Excel访问网络并下载HTA文件或执行额外程序的行为，及时做出响应。
限制旧系统的使用 | 限制旧系统的使用，并将其从其他网络分段，以防止从互联网/邮件进行访问。

通过采取这些措施，组织可以更