Office文檔漏洞利用工具包ThreadKit
責編:mhshi |2018-03-29 14:30:53根據網絡安全公司Proofpoint的說法,他們的安全研究人員發現了一款??新的Microsoft Office文檔漏洞利用工具包,已經被許多網絡犯罪集團(如Cobalt Gang)用于傳播各種惡意軟件的有效載荷包括銀行木馬(如Trickbot和Chthonic)和后門程序(如FormBook 和Loki Bot)。
被命名為“ThreadKit”的漏洞利用工具包最初是在2017年10月被發現的,但Proofpoint的研究人員表示,它的分發最早可能開始于2017年6月。
雖然由該工具包生成的文檔與最具影響力的Microsoft Office惡意軟件工具包Micorsoft?Word?Intruder(MWI)生成的文檔存在一定程度的相似性,但研究人員確定這些文檔是由一個新的工具包生成的,也就是ThreadKit。
在2017年6月,ThreadKit被發布在一個黑客論壇上。根據其開發者的描述,它能夠創建帶有嵌入式可執行文件和嵌入式誘餌文件的文檔。
研究人員表示,ThreadKit的確具有這種能力,并且已經被用于多起實際攻擊活動中。文檔使用“INCLUDEPICTURE”字段對命令和控制(C&C)服務器執行初始登記,而這也是MWI使用的策略之一。
這些文檔利用CVE-2017-0199漏洞下載并執行HTA文件,然后下載誘餌文檔和可提取并運行嵌入式可執行文件的惡意VB腳本。這個感染鏈導致了惡意軟件Smoke Loader的安裝,而作為最終有效荷載的Trickbot銀行木馬將會由Smoke Loader下載。
在2017年10月份,ThreadKit的開發者推出了新版本,增加了對CVE 2017-8759漏洞的利用,但仍繼續使用最初的C&C登記和HTA文件來執行嵌入式可執行文件。區別在于,新版本對漏洞利用文件的運行方式進行了更改,且傳播的最終有效載荷切換成了Chthonic銀行木馬。
在2017年即將結束之際,ThreadKit承諾會在最短的時間內將最新的Microsoft Office漏洞利用整合到ThreadKit中。在2017年11月21日推出的新版本中,CVE 2017-11882漏洞已經能夠被利用。
在今年2月和3月,ThreadKit更是在極短時間內被新增了對多個漏洞的利用,包括Adobe Flash零日漏洞(CVE-2018-4878)和兩個Microsoft Office漏洞(CVE-2018-0802和 CVE-2017-8570)。
另外,這個版本的ThreadKit還包含了對嵌入式誘餌和惡意軟件提取和執行的重大修改,而傳播的最終有效荷載切換成了用于構建僵尸網絡的Neutrino Bot。
Proofpoint表示,ThreadKit是一個相對較新且十分受歡迎的文檔漏洞利用工具包。至少從2017年6月起,已經被許多網絡犯罪集團用于開展各種各樣的攻擊活動。并且它的使用極其方便,即使是只具備低技能的惡意攻擊者也能通過它來利用最新的Microsoft Office漏洞。
ThreadKit可被用于分發各種惡意軟件,這會給廣大計算機用戶帶來廣泛且不確定的潛在威脅,因此Proofpoint建議個人或者組織應當確保及時為Microsoft Office或者其他應用程序安裝最新發布的安全補丁,從而減輕由ThreadKit或者其他漏洞利用工具帶來的網絡攻擊風險。