Office文档漏洞利用工具包ThreadKit

根据网络安全公司Proofpoint的说法,他们的安全研究人员发现了一款​​新的Microsoft Office文档漏洞利用工具包,已经被许多网络犯罪集团(如Cobalt Gang)用于传播各种恶意软件的有效载荷包括银行木马(如Trickbot和Chthonic)和后门程序(如FormBook 和Loki Bot)。

office

被命名为“ThreadKit”的漏洞利用工具包最初是在2017年10月被发现的,但Proofpoint的研究人员表示,它的分发最早可能开始于2017年6月。

虽然由该工具包生成的文档与最具影响力的Microsoft Office恶意软件工具包Micorsoft Word Intruder(MWI)生成的文档存在一定程度的相似性,但研究人员确定这些文档是由一个新的工具包生成的,也就是ThreadKit。

在2017年6月,ThreadKit被发布在一个黑客论坛上。根据其开发者的描述,它能够创建带有嵌入式可执行文件和嵌入式诱饵文件的文档。

研究人员表示,ThreadKit的确具有这种能力,并且已经被用于多起实际攻击活动中。文档使用“INCLUDEPICTURE”字段对命令和控制(C&C)服务器执行初始登记,而这也是MWI使用的策略之一。

这些文档利用CVE-2017-0199漏洞下载并执行HTA文件,然后下载诱饵文档和可提取并运行嵌入式可执行文件的恶意VB脚本。这个感染链导致了恶意软件Smoke Loader的安装,而作为最终有效荷载的Trickbot银行木马将会由Smoke Loader下载。

在2017年10月份,ThreadKit的开发者推出了新版本,增加了对CVE 2017-8759漏洞的利用,但仍继续使用最初的C&C登记和HTA文件来执行嵌入式可执行文件。区别在于,新版本对漏洞利用文件的运行方式进行了更改,且传播的最终有效载荷切换成了Chthonic银行木马。

在2017年即将结束之际,ThreadKit承诺会在最短的时间内将最新的Microsoft Office漏洞利用整合到ThreadKit中。在2017年11月21日推出的新版本中,CVE 2017-11882漏洞已经能够被利用。

在今年2月和3月,ThreadKit更是在极短时间内被新增了对多个漏洞的利用,包括Adobe Flash零日漏洞(CVE-2018-4878)和两个Microsoft Office漏洞(CVE-2018-0802和 CVE-2017-8570)。

另外,这个版本的ThreadKit还包含了对嵌入式诱饵和恶意软件提取和执行的重大修改,而传播的最终有效荷载切换成了用于构建僵尸网络的Neutrino Bot。

Proofpoint表示,ThreadKit是一个相对较新且十分受欢迎的文档漏洞利用工具包。至少从2017年6月起,已经被许多网络犯罪集团用于开展各种各样的攻击活动。并且它的使用极其方便,即使是只具备低技能的恶意攻击者也能通过它来利用最新的Microsoft Office漏洞。

ThreadKit可被用于分发各种恶意软件,这会给广大计算机用户带来广泛且不确定的潜在威胁,因此Proofpoint建议个人或者组织应当确保及时为Microsoft Office或者其他应用程序安装最新发布的安全补丁,从而减轻由ThreadKit或者其他漏洞利用工具带来的网络攻击风险。

上一篇:研究人员发现门罗币可以追踪用户信息

下一篇:Drupal修复了Drupalgeddon2的安全漏洞