攻击者利用 Word 文档漏洞对组织发起攻击

CathyHuang

最近发现了一个漏洞，黑客能够在微软所有版本的专有 MSHTML 浏览器引擎中执行远程代码，而无需安装任何应用程序。微软 Word 中存在一个零日漏洞，攻击者正在利用该漏洞制作特制的文档。

微软的 Skype、Visual Studio 和 Microsoft Outlook 等产品以及其他一些产品也会使用 MSHTML，由于微软的很多产品中也在使用 MSHTML，因此这个漏洞非常普遍。黑客通过制作恶意的 Word 文档，利用 Windows 工具中的零日漏洞，从而能够入侵微软为管理员提供的受保护的网络。

谷歌旗下的反病毒服务 VirusTotal 于 5 月 25 日在其网站上检测到了一个来自白俄罗斯 IP 地址的恶意 Word 文档，该文档是在周末上传的。 安全研究员分析后发现，尽管该 word 文档宏已经被禁用，但该恶意文档（或称 "malloc"）仍能通过合法的微软支持诊断工具（msdt.exe）来生成代码。

MSDT 可通过 Windows 中的 ms-msdt URL 协议从恶意的 Word 文档访问，从而执行恶意软件。现在有一个 " 故障排除程序包 " 可从 MSDT 网站下载。 朝鲜攻击者利用恶意的微软 Word 文档，试图利用安全软件的漏洞从俄罗斯目标窃取敏感信息。

一位名叫 Cara Lin 的研究人员就一个名为 Konni 的组织（虽然它与 Kimsuky aka APT43 有很多相似之处，但也有可能是这个组织）如何试图以附件形式发送恶意的俄语微软文档发表了以下看法。该恶意软件使用了微软的宏代码功能，是典型的以文件形式下载的恶意软件。

根据攻击者分发的文件，其中有一篇俄文文章，描述了西方对特别军事行动进展的评估。文章指出，《黑客新闻》评论说，Konni 是一款非常值得注意的应用程序，因为它设计的目的是对俄罗斯进行攻击的。

大多数情况下，该组织会使用鱼叉式网络钓鱼电子邮件和恶意文档，试图通过鱼叉式网络钓鱼获取目标端点的访问权限。据报道，网络安全研究人员 Knowsec 和 ThreatMon 发现了早些时候攻击者利用 WinRAR（CVE-2023-38831）漏洞进行的攻击。

据 ThreatMon 报道，Konni 的主要目标是在全球范围内窃取数据和开展间谍活动。在此过程中，该组织使用了各种恶意软件和工具来实现其目标，并经常调整策略以避免被当局发现。朝鲜黑客对俄罗斯公司的破坏并不是我们第一次看到类似的攻击。