近日，微軟披露 Microsoft Office 存在遠(yuǎn)程代碼執(zhí)行漏洞 CVE-2022-30190。Avast 的研究人員發(fā)現(xiàn)澳大利亞通信公司 VOIPS Telecom 帕勞分公司已經(jīng)被攻陷，用于分發(fā)惡意軟件。受害者打開惡意文檔后，將會(huì)通過惡意網(wǎng)站下載并執(zhí)行惡意軟件。

復(fù)雜攻擊

攻擊分為多個(gè)階段，相對(duì)復(fù)雜。攻擊者使用 LOLBAS（Living off the Land Binaries And Scripts）技術(shù)，利用 CVE-2022-30190 漏洞惡意代碼，無需將可執(zhí)行文件落地，盡量降低端點(diǎn)檢出可執(zhí)行文件的可能性。為了最大限度保持隱蔽，攻擊者在多個(gè)階段中都使用了合法簽名。

第一階段

失陷的網(wǎng)站上部署了一個(gè)名為 robots.txt的可執(zhí)行文件，這樣在日志中即使被發(fā)現(xiàn)也能夠盡可能不引起管理人員的注意。調(diào)用微軟支持診斷工具程序（msdt.exe），下載 robots.txt并保存為 Sihost.exe，最后執(zhí)行惡意程序。

下載文件

網(wǎng)絡(luò)流量

解碼命令

第二階段

當(dāng) msdt.exe 執(zhí)行 Sihost.exe 時(shí)，樣本會(huì)下載第二階段的 Loader（b63fbf80351b3480c62a6a5158334ec8e91fecd057f6c19e4b4dd3febaa9d447）。下載的 Loader 用于下載和解密第三階段的惡意文件，該文件為也在相同 Web 服務(wù)器上部署的加密文件 favicon.svg。

解密操作

樣本下載

第三階段

加密文件 favicon.svg 被解密后，會(huì)下載第四階段的樣本。

解密樣本示例

樣本下載

這些樣本也是部署在 palau.voipstelecom.com.au上的，被命名為 Sevntx64.exe與 Sevntx.lnk。

第四階段

惡意樣本執(zhí)行時(shí)，會(huì)加載一個(gè)長為 66kb 的 Shellcode 程序。該程序名為 Sevntx64.exe，是 AsyncRAT 家族的惡意程序，且與 Sihost.exe使用相同的證書進(jìn)行簽名。

加載 Shellcode

第五階段

感染鏈的最后，攻擊者部署 AsyncRAT 遠(yuǎn)控木馬（aba9b566dc23169414cb6927ab5368b590529202df41bfd5dded9f7e62b91479）。木馬與 palau.voipstelecom.com.au 的 443 端口進(jìn)行 C&C 通信。

AsyncRAT 配置信息

回溯

研究人員也發(fā)現(xiàn)了惡意軟件的早期版本：