新的“ThreadKit”Office漏洞利用生成器出现

  • 时间:
  • 浏览:23
  • 来源:it300
新的“ThreadKit”Office漏洞利用生成器出现

Proofpoint报告称,新发现的Microsoft Office文档漏洞构建工具包已用于分发各种恶意负载,包括银行特洛伊木马和后门。

漏洞利用构建工具包最初于2017年10月发现但Proofpoint的研究人员将其与2017年6月的活动联系起来。构建工具包显示与Microsoft Word Intruder(MWI)的相似之处,但它是一种名为ThreadKit的新工具。

2017年6月,该套件正在使用在论坛帖子中做广告,因为能够创建带有嵌入式可执行文件和嵌入式诱饵文档的文档,并且当月发现了一些包含此类文档的活动。这些文件将对命令和控制(C C)服务器执行初始登记,这也是我们的策略由MWI编辑。

这些文件的目标是CVE-2017-0199,并专注于下载和执行HTA文件,然后下载诱饵和恶意VB脚本以提取和运行嵌入式可执行文件。有效载荷是Smoke Loader,后者又下载了银行恶意软件。

10月,ThreadKit也开始瞄准CVE 2017-8759,但继续使用初始CC签入和HTA文件来执行嵌入式可执行文件,Proofpoint说。但是,对漏洞利用文档的运行方式以及集成的新漏洞进行了更改。

11月,ThreadKit迅速将漏洞利用新的Microsoft Office漏洞,并开始宣传能够定位CVE 2017-11882。不久之后以前观察到的办理登机手续的活动已经开始出现。

2018年2月和3月,该工具包嵌入了新漏洞,针对的是Adobe Flash零日(CVE-2018-4878)等漏洞以及一些新的Microsoft Office漏洞,包括CVE-2018-0802和CVE-2017-8570。

与此同时,研究人员注意到电子邮件活动大幅增加,其中包括ThreadKit生成的Office附件包装这些漏洞。这些漏洞似乎是从研究人员的GitHub仓库中提供的概念证明中复制出来的。

作为这些攻击的一部分,附件会将包含的打包程序对象放入临时文件夹,然后漏洞会执行删除的scriptlet文件,从而导致执行丢弃的batch文件,然后运行可执行文件。

Proofpoint发现并非所有ThreadKit文档都包含统计签入的有效URL(一些包含占位符URL)。此外,并非所有文档都遵循相同的执行链,一些脚本被修改以执行其他操作,一个可以由套件作者作为服务提供的自定义。

“2017年,几个新的漏洞进入常规使用由威胁演员和2018年头几个月增加了该剧目。像ThreadKit这样的文档漏洞利用构建工具包甚至可以让低技能的威胁参与者利用最新的漏洞来分发恶意软件。组织和个人可以通过确保客户来减轻ThreadKit和其他基于文档漏洞的攻击的风险针对Microsoft Office和其他应用程序中的最新漏洞修补了这些问题,“Proofpoint总结道。

相关:Microsoft修补Office中的零日漏洞

相关:Microsoft手动修补Office组件:研究人员

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01