信息來源：hackernews

外媒 1 月 17 日消息，F(xiàn)ireEye 于近期發(fā)現(xiàn)了一種新的攻擊手法——利用三個 2017 年披露的 Microsoft Office  漏洞進行惡意軟件 Zyklon 的傳播活動 。據(jù)悉，該活動主要針對電信、保險和金融服務等公司，試圖收集其密碼和加密貨幣錢包數(shù)據(jù)，并為未來可能發(fā)生的 DDoS （分布式拒絕服務） 攻擊收集目標列表。

功能強大的 Zyklon 惡意軟件

Zyklon 是一款 HTTP 僵尸網(wǎng)絡惡意軟件 ，自 2016  年就開始出現(xiàn)，通過 Tor  匿名網(wǎng)絡與其 C＆C （命令和控制）服務器進行通信，從而允許攻擊者遠程竊取密鑰和敏感數(shù)據(jù)，比如存儲在 web 瀏覽器和電子郵件客戶端的密碼。此外，根據(jù) FireEye 最近發(fā)布的報告，Zyklon 還是一個公開的全功能后門，能夠進行鍵盤記錄、密碼采集、下載和執(zhí)行額外的插件，包括秘密使用受感染的系統(tǒng)進行 DDoS 攻擊和加密貨幣挖掘。

而在此次攻擊活動中，背后的攻擊者利用  Microsoft Office 的三個漏洞通過魚叉式網(wǎng)絡釣魚電子郵件傳播 Zyklon 惡意軟件，這些郵件通常會附帶一個包含惡意 Office 文檔的 ZIP 文件。一旦用戶打開這些惡意文件就會立即運行一個 PowerShell 腳本，并從 C＆C 服務器下載最終 playload。這樣一來， 用戶的計算機設備就會成功受到感染。

以下為惡意軟件利用的三個 Microsoft Office 漏洞：

第一個漏洞：CVE-2017-8759 是 Microsoft 去年十月修補 的 .NET 框架漏洞。打開受感染文檔的目標將允許攻擊者安裝惡意程序，處理數(shù)據(jù)并創(chuàng)建新的特權(quán)帳戶。 受感染的 DOC 文件包含嵌入的 OLE 對象，該對象在執(zhí)行時觸發(fā)從存儲的 URL 下載的另外的 DOC 文件。

第二個漏洞：CVE-2017-11882 是在 Microsoft 公式編輯器的 Office 可執(zhí)行文件中發(fā)現(xiàn)的遠程代碼執(zhí)行錯誤，微軟已于 2017 年 11 月為其發(fā)布了補丁。 該漏洞與以前的漏洞類似，打開特制 DOC 的用戶將自動下載包含最終 playload 的 PowerShell 命令的 DOC 文件。

第三個漏洞：在于動態(tài)數(shù)據(jù)交換（ DDE ），但微軟不承認該漏洞的存在，而是堅稱 DDE 只是一個產(chǎn)品功能，是建立應用程序如何通過共享內(nèi)存發(fā)送消息和共享數(shù)據(jù)得協(xié)議。然而，在過去的一年中，攻擊者利用 DDE 在惡意活動取得了巨大的成功，比如在無需啟用宏或內(nèi)存損壞情況下在目標設備上執(zhí)行代碼。

FireEye 表示，目前越來越多的攻擊者利用惡意軟件來執(zhí)行不同的任務，并且很可能會超出當前攻擊目標的范圍，因此對于所有行業(yè)來說保持高度警惕性變得尤為重要。