事故從收Excel電郵開始 駭客這回藏得很深

編譯/Cynthia

網路安全研究人員最近揭露一種透過Microsoft Excel已知漏洞的攻擊手法,該手法可在無檔案模式下,散布Remcos RAT惡意程式。攻擊從釣魚信件開始,誘使受害者開啟含有惡意程式碼的Excel檔案,使Remcos RAT能悄悄植入受害者電腦中。這種無檔案攻擊更加隱蔽,因為它不會在硬碟留下檔案痕跡,讓傳統防毒軟體難以偵測。面對這樣的高隱匿性攻擊,企業與個人用戶須提高警覺,以保障資料安全與隱私。

研究人員近期發現一種透過釣魚信件引發的無檔案攻擊。
研究人員近期發現一種透過釣魚信件引發的無檔案攻擊。(圖/123RF)

合法工具變身資安威脅

Remcos RAT(Remote Control and Surveillance)原是一款合法的遠端控制軟體,提供多樣化的裝置管理功能。然而,這套工具卻被駭客濫用,成為執行惡意操作的利器。Remcos RAT具備強大的資訊蒐集能力,可在受害電腦上存取系統資訊、遠端執行指令,並控制設備的攝影機、麥克風等資源。這些特性讓駭客能長期監控受害者,竊取敏感資料,帶來嚴重的資安風險。

更多新聞:駭客躲在ZIP檔 小心電郵藏殺手

透過釣魚信件引發的無檔案攻擊

此攻擊手法從一封假冒採購單的釣魚信件開始,誘導收件人下載並開啟其中的Excel附件。當受害者開啟Excel檔案時,該文件便利用Microsoft Office已知的CVE-2017-0199漏洞(CVSS評分7.8),讓駭客可遠端執行程式碼並下載HTML應用程式(HTA)檔案。該HTA檔案透過mshta.exe啟動後,進一步執行多層次的惡意程式碼,最終將Remcos RAT直接載入記憶體,實現無檔案感染,難以被偵測。

駭客多層防偵測技術躲避偵測

為了避開防毒軟體偵測,駭客採用多層次的防偵測技術,透過JavaScript、VBScript和PowerShell多重包裝來隱藏惡意程式碼。Remcos RAT進一步使用進程替換(process hollowing)技術,直接在記憶體中運行,讓偵測難度大幅提高。此惡意程式支援多項惡意操作,包括管理系統服務、編輯Windows註冊表、竊取檔案、截取螢幕畫面、遠端控制攝影機與麥克風,甚至能禁用鍵盤與滑鼠。這些遠端控制功能讓駭客能全面掌控受害者電腦資源,造成重大資安威脅。

新型釣魚手法層出不窮

除了透過Excel漏洞散佈Remcos RAT,近期出現更多新型釣魚手法。例如,駭客利用Docusign API發送假帳單,這些帳單使用合法的Docusign帳號發出,讓受害者難以辨別真偽。另外,還有駭客使用ZIP檔案拼接技術,將多個ZIP檔案串接成一個檔案,以繞過安全檢測,避開傳統防護工具。這些手法使釣魚攻擊更具威脅性,尤其對大型組織的資安防禦構成挑戰。企業應加強多層防護,提升員工資安意識,並優化系統設定來應對這類複雜的網路威脅。

資料來源:The Hacker News

※探索職場,透視薪資行情,請參考【科技類-職缺百科】幫助你找到最適合的舞台!

瀏覽 2,562 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button