小心!Word 巨集現在也成為駭客滲透的其中一種方式。根據外國資安部落格報導,研究人員發現駭客組織將帶有惡意軟體的 Word 巨集放置在 GitHub 上,一旦下載且執行後,電腦便會運行 PowerShell,自動抓取看似合法的 PNG 圖檔,藉此啟動滲透測試工具 Cobalt Strike 發動攻擊。
據國外資安部落格 Bleeping Computer 揭露,此一攻擊手法或許跟渾水研究(MuddyWater),這個有政府支援的駭客組織相關。Bleeping Computer 的研究人員發現,此一攻擊手法是將惡意軟體植入在 Word 文檔的巨集之中,當啟動Word 檔案時,將會運行巨集,此時便會進一步啟動 PowerShell;而 PowerShell 則會開始從 GitHub 或是 imgur 等合法網站下載 PNG 圖片。
▲ Word 巨集也成為駭客攻擊手段。(Source:Bleeping Computer )
然而,下載 PNG 圖片只是個障眼法,事實上則是藉此針對 PNG 圖片的畫素進行運算,以啟動原先植入的滲透測試工具 Cobalt Strike;這種在普通文件或是圖片中隱藏代碼、秘密數據或是惡意有效負載(Malicious Payload)的方式被稱為隱寫術(Steganography)。
▲ 藉由下載圖片以執行滲透工具。(Source:Bleeping Computer )
據悉,Cobalt Strike 是由 Raphael Mudge 所開發的滲透及紅隊演練工具,而最近這幾年經常受到駭客的青睞。根據 Cobalt Strike 官網說明,這是個威脅模擬軟體,可針對現代化的企業執行目標式攻擊,它能夠偵測目標電腦上所使用的程式。其攻擊封包可執行偷渡攻擊、載入Beacon 執行 PowerShell 腳本、將無害檔案變成木馬、下載檔案或其它惡意功能等。
研究人員最後指出,事實上這並不是像 GitHub 和 Imgur 這樣的合法服務第一次被濫用來提供惡意代碼。過往駭客也經常把勒索軟體遷入圖片內,放進imgur 誘拐使用者下載,竊取使用者資料;或是偽裝成 Word 文件啟動;一旦使用者遭感染後,駭客能夠在遠端控制電腦,並且側聽所有的資訊。
(首圖來源:群暉科技)
