安全企業(yè)Fortinet近日揭露，黑客正利用一個五年前就被公開的漏洞CVE-2017-0199，對Office企業(yè)用戶進行攻擊。該漏洞允許遠程執(zhí)行代碼，對企業(yè)數(shù)據(jù)安全構(gòu)成嚴(yán)重威脅。

據(jù)悉，黑客首先通過偽裝成業(yè)務(wù)往來郵件的方式，向目標(biāo)用戶發(fā)送包含惡意Excel附件的網(wǎng)絡(luò)釣魚郵件。當(dāng)用戶打開這些看似正常的附件并嘗試編輯內(nèi)容時，便會觸發(fā)該漏洞。

一旦漏洞被觸發(fā)，受害者的設(shè)備會在后臺自動下載并運行一個由黑客精心準(zhǔn)備的HTA文件。這個文件經(jīng)過了多層包裝，使用了Java、VB等腳本語言，并結(jié)合Base64編碼和PowerShell命令，以逃避安全檢測。

HTA文件運行后，會進一步下載并執(zhí)行一個名為dllhost.exe的惡意程序。該程序隨后將惡意代碼注入到新的進程Vaccinerende.exe中，從而完成Remcos RAT木馬的傳播。

研究人員在深入分析后發(fā)現(xiàn)，黑客在攻擊過程中還使用了多種反追蹤技術(shù)，如異常處理和動態(tài)API調(diào)用等，以增加攻擊的隱蔽性和逃避安全檢測的能力。