Trustwave พบการโจมตีโดยใช้ CVE-2017-11882 มากขึ้น
Trustwave ซึ่งเป็น vendor ทางด้าน security ชื่อดังได้ออก report พบว่าการโจมตี ณ ปัจจุบัน ทาง Attacker ไม่ได้พึ่งพา Macro อีกต่อไป ไปใช้ CVE-2017-11882 แทน
Trustwave กล่าวว่าทาง Spammer หรือก็คือคนที่ส่ง spam email นั้นเลือกที่จะใช้ช่องโหว่ CVE-2017-11882 ใน Microsoft Office แทนที่จะเป็นการฝัง macro เข้าไปใน document ตรงๆ เพราะโดยปกติแล้ว CVE-2017-11882 นั้นเป็นการโจมตีที่จะมี popup ขึ้นมาถามในการ execute ซึ่งกลับกันกับของ Macro ที่ user ต้องกด enable เองที่ด้านบน โดยทาง Trustwave กล่าวว่าการโจมตีของ Spammer จะเป็นในลักษณะของ multistage มากขึ้น ซึ่งสรุปออกมาได้เป็นดังนี้
|
1 2 3 4 5 6 7 8 9 10 11 |
- เหยื่อได้รับ email พร้อมแนบไฟล์ DOCX - เหยื่อ download และเปิด DOCX file. - DOCX file จะมี embedded OLE object ฝังไว้อยู่ - OLE object ทำการ download และ open RTF file. - DOC file ใช้ CVE-2017-11882 Office Equation Editor vulnerability. - Exploit code runs คำสั่ง MSHTA command line. - MSHTA command line downloads และ runs HTA file. - HTA file ฝัง VBScript ที่มี PowerShell script. - PowerShell script ทำงานแล้ว download และติดตั้ง password stealer. - Malware ขโมย passwords จาก browsers, email และ FTP clients. - Malware uploads data กลับไปยัง C&C Server |
วิธีการโจมตีแบบนี้เริ่มแพร่หลายมากขึ้นเรื่อยๆ และมีการนำไปใช้อย่างกว้างขวาง หากเป็นไปได้แนะนำให้ใครที่ใช้ Microsoft Office อยู่ update patch เพื่ออุดช่องโหว่ CVE-2017-11882 ด้วยครับ
Source:: BleepingComputer
You May also Like
LINE@Techsuii.com
