新聞
觀點
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
解決方案
活動
訂閱電子報
訂閱電子報
新聞
觀點
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
攻擊者利用已有6年歷史的微軟Office 漏洞散播間諜軟體
2023 / 12 / 25
編輯部
外媒近日報導惡意網路攻擊者正利用已存在6年的微軟Office 遠端程式碼執行 (RCE) 漏洞,以惡意Excel附件檔案的形式利用電子郵件散播木馬軟體。
CVE-2017-11882 漏洞雖然早在2017年披露,但最早的惡意利用可追溯至2014年,攻擊的目標是透過載入Agent Tesla這類遠端存取木馬 (RAT) 和鍵盤記錄器,將最終竊取的資料發送到由攻擊者控制的 Telegram 機器人帳號。
CVE-20170-11882 是 Microsoft Equation Editor 中發現的記憶體損壞漏洞。成功利用該漏洞的攻擊者可以在受害系統上執行任意程式碼,如果使用者以管理員權限登錄,攻擊者甚至可以接管系統。儘管該漏洞早已修補,但仍在使用的舊版Microsoft Office可能容易受到攻擊。
研究人員表示Agent Tesla 仍然是攻擊者使用的常見武器,能實現包含剪貼簿記錄、螢幕鍵盤記錄、螢幕截圖以及從不同網路瀏覽器竊取密碼等功能。
攻擊過程
攻擊鏈利用社交工程手法,從含有惡意Excel附件的電子郵件開始,郵件主題使用 「訂單」和 「發票 」等字眼,並要求收件人立即回覆。研究人員發現,一旦用戶受騙,打開惡意 Excel 附件,就會啟動與惡意目標的溝通,該惡意目標會推送附加檔案,其中第一個檔案是一個嚴重混淆的 VBS 檔,使用的變數名長達 100 個字元,以增加分析和解混淆的複雜性。
接著,該檔案依次開始下載惡意 JPG 檔,之後 VBS 檔執行 PowerShell 可執行檔,該可執行檔會從圖片檔中檢索 Base64 編碼的 DLL,並從解碼後的 DLL 中載入惡意程式。
PowerShell 載入後,還有另一種新穎的手法:執行 RegAsm.exe 檔,該執行檔的主要功能通常與登入註冊的讀寫操作相關,目的是在真實操作的幌子下進行惡意活動。在此,DLL 獲取 Agent Tesla 負載並將執行序注入 RegAsm 程序。
一旦部署成功,間諜軟體就會從瀏覽器、郵件用戶端和 FTP 應用程式中竊取資料,並還嘗試部署鍵盤和剪貼簿來監視所有鍵盤、滑鼠動作並竊取使用者複製的資料。
這種攻擊方式的獨特之處在於,它將長期存在的漏洞與新的複雜規避策略結合在一起。
Zscaler 在官方部落格文章已列出完整的IoC列表,其中包括用於滲透的 Telegram URL 列表、惡意網址、各種惡意Excel、VBS、JPG、DLL檔、和惡意可執行檔 - 協助用戶識別系統是否已受到損害。該貼文還包含大量瀏覽器、郵件和 FTP 用戶端列表。
本文轉載自Dark Reading。
CVE-2017-11882
Agent Tesla
遠端存取木馬
鍵盤記錄器
社交工程
最新活動
2026.07.22
2026 政府資安論壇
2026.07.08
AI工具應用資安風險評估管理
2026.07.09
7/9-7/10【軟體開發安全意識與 .NET/Java 安全程式開發】兩日集訓班
2026.07.14
2026迎戰合規新局上市櫃企業資安治理與風險評估實戰解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.29
半導體與高科技園區資安防護
2026.07.30
Azure 雲端轉型研討會|雲端 x AI x 資安
看更多活動
大家都在看
超越人類監督:前沿 AI 時代的新挑戰與應對
傳統防火牆只看 IP,語意防火牆看「意圖」:林宜隆教授解析神經符號架構與 AI 治理三標準如何聯手對抗工業化攻擊
群暉科技 Synology 修補 MailPlus Server 三項重大漏洞,逾 2,100 台暴露於網路
PTC Windchill 遠端程式碼執行漏洞納入 KEV 目錄,攻擊者仍持續部署 Web Shell
Sophos 與 Rubrik 攜手推出由 Rubrik Cyber Resilience 技術支援的 Microsoft 365 備份與復原服務
資安人科技網
文章推薦
中國 LLM 漏洞發現能力逼近前沿模型,專家憂攻守差距持續擴大
幻象域名搶註:LLM 幻覺催生新型供應鏈威脅
Microsoft 加速後量子密碼學部署時程,目標 2029 年完成關鍵產品移轉