使用（未修补）Microsoft Office DDE漏洞的俄罗斯“花式熊”黑客

上个月，我们报道了黑客如何利用Microsoft Office功能的内置功能，称为动态数据交换（DDE），在目标设备上执行代码，而无需启用宏或内存损坏。

DDE协议是微软允许两个运行中的应用程序共享相同数据的几种方法之一。

包括MS Excel、MS Word、Quattro Pro和Visual Basic在内的数千个应用程序正在使用该协议进行一次性数据传输，并进行连续交换，以便相互发送更新。

DDE攻击的细节公布后不久，就出现了一些关于各种广泛的攻击活动的报告，这些攻击活动在野外滥用这种技术，以恶意软件攻击多个组织。
现在，高级持续威胁（APT）黑客组织，被称为“花式熊”的APT28被广泛认为得到了俄罗斯政府的支持。

俄罗斯黑客利用纽约恐怖袭击引诱受害者

根据McAfee研究人员周二发布的最新报告，安全研究人员在分析一项新的矛式网络钓鱼活动时发现，自10月下旬以来，花式熊黑客一直在利用DDE漏洞。

该活动涉及引用最近在纽约市发生的恐怖袭击的文件，试图诱骗受害者点击恶意文件，最终使其系统感染恶意软件。

由于DDE是微软的合法功能，大多数防病毒解决方案不会标记任何警告或用DDE字段阻止文档。

因此，任何点击恶意附件的人Sabreguard2017，多克或Isis袭击纽约，无意中在他/她的计算机上运行恶意代码，没有任何限制或检测。

一旦打开，该文档将运行一个命令和控制服务器，以安装名为Seduploader在受害者的机器上使用PowerShell命令。

然后，Seduploader通过从受感染的系统中提取基本主机信息给黑客来分析潜在的受害者。如果对该系统感兴趣，攻击者随后会安装一个功能更全面的间谍软件&8212；X探员和赛德雷科。

Mcafee研究人员总结道：“APT28是一个足智多谋的威胁参与者，它不仅可以利用最近发生的事件诱骗潜在的受害者感染，还可以迅速采用新的利用技术来提高其成功率”。“鉴于Cy Con美国运动在媒体上的宣传，APT28演员可能不再使用过去行动中使用的VBA脚本，而是选择采用DDE技术绕过网络防御”。

这不是第一次被发现滥用DDE攻击技术的恶意软件活动。
DDE攻击技术的细节公布后不久，Cisco的Talos threat research group发现了一场攻击活动，该攻击活动积极利用这种攻击技术，针对多个拥有名为DNSMessenger的无文件远程访问特洛伊木马的组织。

上月末，研究人员发现了一个利用DDE技术通过Word文档传播Locky勒索软件和TrickBot banking特洛伊木马的活动。

安全研究人员发现的另一个单独的恶意软件垃圾邮件活动也发现了Hancitor恶意软件(也被称为Chanitor和Tordal)使用Microsoft Office DDE漏洞。

防止DDE恶意软件攻击

由于Microsoft不提供任何针对此类攻击的保护，您可以通过完全禁用Microsoft DDE功能，轻松防止自己成为任何滥用其DDE功能的恶意文档的受害者。

如果使用Microsoft Word 2016或Microsoft Excel 2016，请转到选项，高级，然后删除“打开时更新自动链接”中的复选标记，该复选标记列在页面的“常规”组下。

在MS Excel中，您也可以考虑检查“忽略使用动态数据交换（DDE）的其他应用程序"。

此外，Disable DDEAuto是GitHub上维护的一个注册表文件，它在运行时禁用MS Office文档中的“更新链接”和“嵌入文件”功能。

通过NVISO实验室研究人员发布的Office Open XML文件中的一组YARA规则，可以检测滥用DDE功能的Office文档。

然而，保护自己免受此类恶意软件攻击的最佳方法是始终对通过电子邮件发送的未经邀请的文档持怀疑态度，并且除非充分验证其来源，否则永远不要点击这些文档中的链接。