微軟關閉VBA漏洞大門 APT駭客硬開Office增益集漏洞這扇窗

隨著微軟預設關閉Office VBA巨集後,研究人員發現,Excel增益集(add-in)成為駭客用來駭入受害者機器的新選擇。

隨著微軟預設關閉Office VBA巨集後,研究人員發現,Excel增益集(add-in)成為駭客用來駭入受害者機器的新選擇。

微軟於今年7月正式在Office預設封鎖包含VBA巨集的執行,只要從網路下載的文件包含MoTW(Mark of the Web)標籤,Office應用就預設不開啟。但思科旗下安全實驗室Talos指出,進階滲透威脅(APT)國家駭客及惡意程式作者因此雙雙將目標轉向Office中增益集,像是Excel的.XLL檔,作為初步入侵目標機器的管道。

.XLL檔是一種動態連結函式庫(dynamic link library, DLL)檔,但只能由Excel開啟。它可以經由電子郵件寄送,即使電腦具有惡意程式掃瞄工具也能開啟,因此使用者可能開了個有惡意程式碼的檔案而不自知,思科Talos研究人員Vanja Svajcer指出。

研究人員表示,XLL最早的記錄出現於2017年,中國國家駭客APT10(或稱Stone Panda)利用XLL將其後門酬載,經由行程(process)掏空注入到記憶體中。此後就有愈來愈多APT駭客如法泡製。他們發現,現今駭客會利用多種C++撰寫的原生增益集及以一個名叫Excel-DNA的免費工具開發的增益集,而這趨勢從2021年年中開始,一直持續到今年。

今年稍早Palo Alto Network Unit 42也發現駭客濫用XLL檔案散佈資訊竊取木馬Agent Tesla及殭屍網路病毒Dridex等。

不過除了Excel或Word 增益集,研究人員指出,其他Office應用也會被用來挾帶惡意程式,例如Publisher。因為微軟限制檔案執行巨集的措施並沒有擴及Publisher檔案,使其成為駭客發動釣魚攻擊的新選擇。Trustwave研究人員發現,Ekipa RAT2022年11月升級後,就可以利用Publisher巨集在用戶機器中植入遠端存取木馬,可在檔案開啟或關閉時執行,竊取用戶敏感資訊。

Trustwave研究人員Wojciech Cieslak說,Ekipa RAT說明了駭客也不斷求新求變,因應微軟預設封鎖VBA,而演化出新的攻擊策略。

來源:The Hacker News

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416