黑客越来越多地使用RTF模板注入技术进行网络钓鱼攻击

观察到与中国、印度和俄罗斯结盟的三个不同的国家支持的威胁参与者采用了一种称为RTF（又称富文本格式）模板注入的新方法，作为其网络钓鱼活动的一部分，将恶意软件发送到目标系统。

Proofpoint研究人员在与《黑客新闻》分享的一份新报告中说：“RTF模板注入是一种新技术，非常适合恶意钓鱼附件，因为它简单，允许威胁参与者使用RTF文件从远程URL检索恶意内容。”。

攻击的核心是一个RTF文件，其中包含诱饵内容，可对其进行操纵，以便在打开RTF文件时检索托管在外部URL上的内容，包括恶意有效载荷。具体来说，它利用RTF模板功能，通过指定URL资源而不是可从中检索远程负载的可访问文件资源目标，使用十六进制编辑器更改文档的格式属性。

换言之，攻击者可以向目标受害者发送恶意的Microsoft Word文档，这些文档看起来完全无害，但旨在通过模板功能远程加载恶意代码。研究人员指出，这使得该机制在与网络钓鱼作为初始传播媒介相结合时成为一种持久有效的方法。

因此，当通过Microsoft Word打开修改后的RTF文件时，应用程序将继续从指定的URL下载资源，然后再显示文件的诱饵内容。因此，这项技术正越来越多地被威胁者用来传播恶意软件，这并不奇怪。

QuoSoPoT说，它观察到模板注入RTF文件链接到APT组DoOT团队，GAMAREDON，和一个中国相关的APT演员被称为TA423早在2021年2月，与对手利用文件的目标实体在巴基斯坦，斯里兰卡，乌克兰，以及那些通过国防主题和其他特定国家的诱惑在马来西亚深水能源勘探领域开展业务的公司。

尽管DoNot团队被怀疑实施了与印度国家利益相关的网络攻击，最近，乌克兰执法部门揭露，Gamaredon是一个与俄罗斯联邦安全局（FSB）有关的机构，倾向于打击该国的公共和私营部门组织，从受损的Windows系统中获取机密信息，以获取地缘政治利益。

研究人员说：“威胁参与者将这种方法引入RTFs中的一种新文件类型的创新，代表了全球组织面临威胁的一个不断扩大的领域。”。“虽然这种方法目前被数量有限、技术复杂的APT参与者使用，但该技术的有效性及其易用性可能会推动其在整个威胁领域的进一步采用。”