安全企業(yè)Fortinet近日揭露，黑客正利用一個(gè)五年前就被公開的漏洞CVE-2017-0199，對Office企業(yè)用戶進(jìn)行攻擊。該漏洞允許遠(yuǎn)程執(zhí)行代碼，對企業(yè)數(shù)據(jù)安全構(gòu)成嚴(yán)重威脅。

據(jù)悉，黑客首先通過偽裝成業(yè)務(wù)往來郵件的方式，向目標(biāo)用戶發(fā)送包含惡意Excel附件的網(wǎng)絡(luò)釣魚郵件。當(dāng)用戶打開這些看似正常的附件并嘗試編輯內(nèi)容時(shí)，便會觸發(fā)該漏洞。

一旦漏洞被觸發(fā)，受害者的設(shè)備會在后臺自動(dòng)下載并運(yùn)行一個(gè)由黑客精心準(zhǔn)備的HTA文件。這個(gè)文件經(jīng)過了多層包裝，使用了Java、VB等腳本語言，并結(jié)合Base64編碼和PowerShell命令，以逃避安全檢測。

HTA文件運(yùn)行后，會進(jìn)一步下載并執(zhí)行一個(gè)名為dllhost.exe的惡意程序。該程序隨后將惡意代碼注入到新的進(jìn)程Vaccinerende.exe中，從而完成Remcos RAT木馬的傳播。

研究人員在深入分析后發(fā)現(xiàn)，黑客在攻擊過程中還使用了多種反追蹤技術(shù)，如異常處理和動(dòng)態(tài)API調(diào)用等，以增加攻擊的隱蔽性和逃避安全檢測的能力。