黑客利用Microsoft浏览器漏洞在目标电脑上部署VBA恶意软件

一名身份不明的威胁参与者一直在利用Internet Explorer浏览器中现已修补的零日漏洞，提供一个功能齐全的基于VBA的远程访问特洛伊木马（RAT），该木马能够访问受损Windows系统中存储的文件，并下载和执行恶意有效载荷，这是“不同寻常”活动的一部分。

The backdoor is distributed via a decoy document named "Manifest.docx" that loads the exploit code for the vulnerability from an embedded template, which, in turn, executes shellcode to deploy the RAT, according to cybersecurity firm Malwarebytes, which spotted the suspicious Word file on July 21, 2021.

该恶意软件文件声称是“克里米亚居民宣言”，呼吁民众反对俄罗斯总统弗拉基米尔·普京，“建立一个名为‘人民抵抗’的统一平台”

Internet Explorer漏洞，跟踪为值得注意的是，它被朝鲜支持的Lazarus集团滥用，以针对从事脆弱性研究和开发的安全研究人员。

今年2月早些时候，韩国网络安全公司ENKI透露，与国家结盟的黑客集团曾试图用恶意MHTML文件攻击其安全研究人员，但没有成功。这些文件在打开时，从远程服务器下载了两个有效负载，其中一个包含针对Internet Explorer的零日攻击。微软在周二发布的3月份补丁中解决了这个问题。

Internet Explorer漏洞是部署RAT的两种方法之一，另一种方法依赖于一个社会工程组件，该组件涉及下载和执行包含植入物的远程宏武器化模板。不管感染链如何，使用双重攻击载体可能是为了增加找到进入目标机器的路径的可能性。

Malwarebytes研究人员Hossein Jazi在与《黑客新闻》分享的一份报告中说：“虽然这两种技术都依赖模板注入来删除全功能远程访问特洛伊木马，但Lazarus APT之前使用的IE漏洞（CVE-2021-26411）是一个不同寻常的发现。”。“攻击者可能希望将社会工程与利用相结合，以最大限度地提高感染目标的几率。”

除了收集系统元数据外，VBA RAT还可以识别在受感染主机上运行的防病毒产品，并执行从攻击者控制的服务器接收的命令，包括读取、删除和下载任意文件，并将这些命令的结果过滤回服务器。

Malwarebytes还发现了一个昵称为“Ekipa”的基于PHP的面板，对手使用该面板跟踪受害者，查看导致成功入侵的操作方式信息，突出显示使用IE zero day成功利用漏洞和执行RAT。

“随着俄罗斯和乌克兰在克里米亚问题上的冲突继续，网络攻击也在增加，”贾齐说。“诱饵文件包含一份宣言，表明这次袭击的可能动机（克里米亚）和目标（俄罗斯和亲俄个人）。然而，它也可能被用作假国旗。”