圖片來源: 

McAfee

安全研究人員發現的俄國駭客組織Fancy Bear最近發動網釣攻擊,其中利用微軟Windows中的動態資料交換(Dynamic Data Exchange,DDE)協定,使Word文件不用巨集也可感染用戶PC。
 
Fancy Bear又名APT28,是極為活躍的俄國駭客組織,曾經先後入侵美國民主黨代表大會世界反禁藥組織竊取資料。近日安全公司趨勢科技雙雙發現,Fancy Bear最近散佈了一份宣稱要發動紐約市恐怖攻擊的Word文件IsisAttackInNewYork.docx,利用Microsoft 動態資料交換(Dynamic Data Exchange, DDE)協定來感染用戶PC。
 
用戶如果在誘使下打開這份Word檔案會發現內文是空的。但檔案一經開啟,Office產品中的DDE功能即呼叫PowerShell執行指令,連上外部C&C伺服器,載入名為Seduploader的惡意程式。該程式會蒐集受害電腦的主機資訊回傳給攻擊者。如果該機器是攻擊者有興趣的目標,即會執行第二道PowerShell指令,安裝X-Agent或Sedreco等後門程式。
 
趨勢科技研究人員Ryan Sherstobitoff及Michael Rea表示,使用Office DDE攻擊時,不論巨集是否啟動,攻擊者都能在受害系統中執行任意程式碼,這也是Fancy Bear/APT 28首次被發現使用到這種過去較不為人知的攻擊手法。
 
但這並不是DDE第一次遭到駭客濫用。上個月思科(Cisco)旗下的資安團隊Talos 也發現一則假冒美國證券交易委員會(SEC)的網釣郵件中,駭客也是利用DDE協定來散布惡意程式。同月Word DDE協定攻擊也被發現用來散佈Locky勒索軟體。


Advertisement

更多 iThome相關內容