吳明宜隨著微軟預設關閉 Office VBA 巨集後,研究人員發現,Excel 增益集 (add-in) 成為駭客用來駭入受害者機器的新選擇。
微軟於今年 7 月正式在 Office 預設封鎖包含 VBA 巨集的執行,只要從網路下載的文件包含 MoTW(Mark of the Web) 標籤,Office 應用就預設不開啟。但思科旗下安全實驗室 Talos 指出,進階滲透威脅 (APT) 國家駭客及惡意程式作者因此雙雙將目標轉向 Office 中增益集,像是 Excel 的.XLL 檔,作為初步入侵目標機器的管道。
.XLL 檔是一種動態連結函式庫 (dynamic link library, DLL) 檔,但只能由 Excel 開啟。它可以經由電子郵件寄送,即使電腦具有惡意程式掃瞄工具也能開啟,因此使用者可能開了個有惡意程式碼的檔案而不自知,思科 Talos 研究人員 Vanja Svajcer 指出。
研究人員表示,XLL 最早的記錄出現於 2017 年,中國國家駭客 APT10(或稱 Stone Panda)利用 XLL 將其後門酬載,經由行程 (process) 掏空注入到記憶體中。此後就有愈來愈多 APT 駭客如法泡製。他們發現,現今駭客會利用多種 C++撰寫的原生增益集及以一個名叫 Excel-DNA 的免費工具開發的增益集,而這趨勢從 2021 年年中開始,一直持續到今年。
今年稍早 Palo Alto Network Unit 42 也發現駭客濫用 XLL 檔案散佈資訊竊取木馬 Agent Tesla 及殭屍網路病毒 Dridex 等。
不過除了 Excel 或 Word 增益集,研究人員指出,其他 Office 應用也會被用來挾帶惡意程式,例如 Publisher 。因為微軟限制檔案執行巨集的措施並沒有擴及 Publisher 檔案,使其成為駭客發動釣魚攻擊的新選擇。 Trustwave 研究人員發現,Ekipa RAT2022 年 11 月升級後,就可以利用 Publisher 巨集在用戶機器中植入遠端存取木馬,可在檔案開啟或關閉時執行,竊取用戶敏感資訊。
Trustwave 研究人員 Wojciech Cieslak 說,Ekipa RAT 說明了駭客也不斷求新求變,因應微軟預設封鎖 VBA,而演化出新的攻擊策略。