研究人員發現黑客正在利用Follina漏洞部署Rozena后門

一個新觀察到的網絡釣魚活動正在利最近披露的 Follina 安全漏洞在 Windows 系統上分發以前從未記錄的后門。

“Rozena 是一種惡意的后門軟件，攻擊者能夠將shell遠程注入到受害者的設備，”Fortinet FortiGuard 實驗室研究員 Cara Lin在本周的一份報告中說道。

現已修復的漏洞編號為CVE-2022-30190的Microsoft Windows 支持診斷工具 (MSDT) 遠程代碼執行漏洞，自2022年5月下旬曝光以來，在最近幾周受到了廣泛的利用。

Fortinet 觀察到的最新攻擊鏈，起源于一個武器化的Office 文檔，當你打開該文檔時，它會連接到Discord CDN URL以檢索 HTML 文件（“ index.htm ”），然后使用PowerShell 命令從同一CDN 附件空間下載下一個攻擊階段的有效負載。

這包括Rozena植入程序（“Word.exe”）和一個批處理文件（“cd.bat”），旨在終止MSDT進程，然后通過修改 Windows 注冊表建立持久化的后門，并下載一個無害的 Word 文檔作為掩飾。

惡意軟件的核心功能是向攻擊者的主機（“microsofto.duckdns[.]org”）注入啟動后的反向shell的shellcode，最終允許攻擊者對受感染系統進行控制、監視和捕獲所需信息，同時還維持一個受感染系統的后門。

利用Follina漏洞，然后定制惡意Word 文檔，依賴Microsoft Excel、Windows 快捷方式 (LNK) 和 ISO 圖像文件作為釋放器將Emotet、QBot、IcedID和Bumblebee等惡意軟件通過社會工程攻擊部署到受害者的設備。

據稱，dropper 是通過電子郵件分發，這些電子郵件直接包含 dropper 或受密碼保護的 ZIP 作為附件、打開時提取 dropper 的 HTML 文件或電子郵件正文中下載 dropper 的鏈接。

在4月初發現的攻擊，主要是帶有XLM 宏的 Excel 文件，但是微軟在大約同一時間對進行更新并默認阻止宏，迫使攻擊者采用HTML 走私以及 .LNK 和 .ISO 文件等替代方法。

上個月，Cyble 披露了一種名為Quantum的惡意軟件工具的詳細信息，該工具在暗網上出售，以便為網絡犯罪分子提供構建惡意 .LNK 和 .ISO 文件的能力。

值得注意的是，無論是通過電子郵件網絡釣魚還是其他方式，對于希望在Windows 系統上投放勒索軟件和其他惡意軟件的攻擊者來說，宏一直是一種久經考驗的攻擊載荷。

此后，微軟暫時暫停了在從互聯網下載的文件中禁用 Office 宏的計劃，該公司告訴黑客新聞，它正在花時間進行“額外的更改以增強可用性”。