黑客越来越多地在网络钓鱼攻击中使用RTF模板注入技术

2021-12-02 10:02:36 0 969

黑客越来越多地在网络钓鱼攻击中使用RTF模板注入技术


已经观察到与中国,印度和俄罗斯结盟的三种不同的国家支持的威胁行为者采用一种称为RTF(又名富文本格式)模板注入的新方法,作为其网络钓鱼活动的一部分,将恶意软件传递到目标系统。

"RTF模板注入是一种新技术,非常适合恶意网络钓鱼附件,因为它很简单,并且允许威胁行为者使用RTF文件从远程URL检索恶意内容,"Proofpoint研究人员在与黑客新闻共享的一份新报告中说。

攻击的核心是一个RTF文件,其中包含诱饵内容,可以对其进行操作,以便在打开RTF文件时检索托管在外部URL上的内容,包括恶意有效负载。具体而言,它利用 RTF模板功能,通过指定 URL 资源而不是可从中检索远程有效负载的可访问文件资源目标,使用十六进制编辑器来更改文档的格式设置属性。

RTF模板注入技术
换句话说,这个想法是攻击者可以将恶意Microsoft Word文档发送给目标受害者,这些文档看起来完全无害,但旨在通过模板功能远程加载恶意代码。

因此,当通过Microsoft Word打开更改的RTF文件时,应用程序将继续从指定的URL下载资源,然后再显示该文件的诱饵内容。因此,威胁行为者越来越多地将该技术武器化以分发恶意软件也就不足为奇了。

RTF 模板注入
Proofpoint表示,早在2021年2月,它就观察到与APT组织DoNotTeam,Gamaredon和一个名为TA423的中国相关APT演员相关的模板注入RTF文件,对手利用这些文件通过国防主题和其他国家特定的诱饵瞄准巴基斯坦,斯里兰卡,乌克兰的实体以及在马来西亚深水能源勘探部门运营的实体。

虽然DoNot团队被怀疑进行与印度国家利益一致的网络攻击,但Gamaredon最近被乌克兰执法部门作为俄罗斯联邦安全局(FSB)的成员,倾向于打击该国的公共和私营部门,因为他们从受损的Windows系统中收集机密信息以获取地缘政治利益。

"威胁行为者将这种方法引入RTF中新文件类型的创新代表了全球组织威胁的扩展表面积,"研究人员说。"虽然这种方法目前被有限数量的APT参与者使用,但该技术的有效性与其易用性相结合,可能会推动其在整个威胁环境中的采用。

关于作者

PYkiller46篇文章567篇回复

非声色物我两忘,俗世与我皆幻象。

评论0次

要评论?请先  登录  或  注册