圖片來源: 

Proofpoint

安全廠商發現新的釣魚信件手法,駭客使用合法的RTF範本植入惡意網站連結,以便將用戶導向下載惡意程式。

安全公司Proofpoint發現今年第2、3季國家駭客組織發送的釣魚信件,使用名為RTF範本注入(RTF template injection)的新穎手法。RTF範本注入是變更RTF的文件屬性設定,把純文字目的改成允許存取外部URL,以便用戶開啟文件時即從遠端網站載入內容,或是惡意程式。在該公司發現的案例中,駭客改寫了.doc.rtf檔,使惡意RTF範本檔案經由Microsoft Word開啟。而這手法在.rtf檔案外掛格式也一樣可行。

圖片來源_Proofpoint

Proofpoint指出,此類RTF範本注入手法的特色是實作容易,也相當新穎,因此市面防毒軟體的偵測率,比廣為人知的Office範本注入手法更低,透過社交工程散布,增添防範困難。

研究人員認為有多國的國家駭客使用這類攻擊手法。他們推斷今年2到4月的案例來自印度和中國。和印度有關的DoNot Team攻擊巴基斯坦及斯里蘭卡,中國駭客組織APT 423涉嫌攻擊馬來西亞深層水能探勘業者。到了10月,又發現疑似俄國APT集團Gamaredon假造烏克蘭政府文件發動攻擊。研究人員也偵測到3種以RTF範本攻擊下載到受害者系統的木馬程式。

以微軟Office文件散布惡意程式仍然是最有效的管道。為了防範惡意文件,微軟本周發布的Defender for Endpoint卻因調升了對木馬程式Emotet的偵測靈敏度而導致誤判,讓企業管理員虛驚一場。

熱門新聞

Advertisement