压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

根據(jù)網(wǎng)絡(luò)安全公司Proofpoint的說法，他們的安全研究人員發(fā)現(xiàn)了一款??新的Microsoft Office文檔漏洞利用工具包，已經(jīng)被許多網(wǎng)絡(luò)犯罪集團(tuán)（如Cobalt Gang）用于傳播各種惡意軟件的有效載荷包括銀行木馬（如Trickbot和Chthonic）和后門程序（如FormBook 和Loki Bot）。

被命名為“ThreadKit”的漏洞利用工具包最初是在2017年10月被發(fā)現(xiàn)的，但Proofpoint的研究人員表示，它的分發(fā)最早可能開始于2017年6月。

雖然由該工具包生成的文檔與最具影響力的Microsoft Office惡意軟件工具包Micorsoft?Word?Intruder（MWI）生成的文檔存在一定程度的相似性，但研究人員確定這些文檔是由一個新的工具包生成的，也就是ThreadKit。

在2017年6月，ThreadKit被發(fā)布在一個黑客論壇上。根據(jù)其開發(fā)者的描述，它能夠創(chuàng)建帶有嵌入式可執(zhí)行文件和嵌入式誘餌文件的文檔。

研究人員表示，ThreadKit的確具有這種能力，并且已經(jīng)被用于多起實際攻擊活動中。文檔使用“INCLUDEPICTURE”字段對命令和控制（C＆C）服務(wù)器執(zhí)行初始登記，而這也是MWI使用的策略之一。

這些文檔利用CVE-2017-0199漏洞下載并執(zhí)行HTA文件，然后下載誘餌文檔和可提取并運(yùn)行嵌入式可執(zhí)行文件的惡意VB腳本。這個感染鏈導(dǎo)致了惡意軟件Smoke Loader的安裝，而作為最終有效荷載的Trickbot銀行木馬將會由Smoke Loader下載。

在2017年10月份，ThreadKit的開發(fā)者推出了新版本，增加了對CVE 2017-8759漏洞的利用，但仍繼續(xù)使用最初的C＆C登記和HTA文件來執(zhí)行嵌入式可執(zhí)行文件。區(qū)別在于，新版本對漏洞利用文件的運(yùn)行方式進(jìn)行了更改，且傳播的最終有效載荷切換成了Chthonic銀行木馬。

在2017年即將結(jié)束之際，ThreadKit承諾會在最短的時間內(nèi)將最新的Microsoft Office漏洞利用整合到ThreadKit中。在2017年11月21日推出的新版本中，CVE 2017-11882漏洞已經(jīng)能夠被利用。

在今年2月和3月，ThreadKit更是在極短時間內(nèi)被新增了對多個漏洞的利用，包括Adobe Flash零日漏洞（CVE-2018-4878）和兩個Microsoft Office漏洞（CVE-2018-0802和 CVE-2017-8570）。

另外，這個版本的ThreadKit還包含了對嵌入式誘餌和惡意軟件提取和執(zhí)行的重大修改，而傳播的最終有效荷載切換成了用于構(gòu)建僵尸網(wǎng)絡(luò)的Neutrino Bot。

Proofpoint表示，ThreadKit是一個相對較新且十分受歡迎的文檔漏洞利用工具包。至少從2017年6月起，已經(jīng)被許多網(wǎng)絡(luò)犯罪集團(tuán)用于開展各種各樣的攻擊活動。并且它的使用極其方便，即使是只具備低技能的惡意攻擊者也能通過它來利用最新的Microsoft Office漏洞。

ThreadKit可被用于分發(fā)各種惡意軟件，這會給廣大計算機(jī)用戶帶來廣泛且不確定的潛在威脅，因此Proofpoint建議個人或者組織應(yīng)當(dāng)確保及時為Microsoft Office或者其他應(yīng)用程序安裝最新發(fā)布的安全補(bǔ)丁，從而減輕由ThreadKit或者其他漏洞利用工具帶來的網(wǎng)絡(luò)攻擊風(fēng)險。