事故從收Excel電郵開始 駭客這回藏得很深李佩璇 (2024-11-12 14:21:47)

網路安全研究人員最近揭露一種透過Microsoft Excel已知漏洞的攻擊手法，該手法可在無檔案模式下，散布Remcos RAT惡意程式。

編譯／Cynthia

網路安全研究人員最近揭露一種透過Microsoft Excel已知漏洞的攻擊手法，該手法可在無檔案模式下，散布Remcos RAT惡意程式。攻擊從釣魚信件開始，誘使受害者開啟含有惡意程式碼的Excel檔案，使Remcos RAT能悄悄植入受害者電腦中。這種無檔案攻擊更加隱蔽，因為它不會在硬碟留下檔案痕跡，讓傳統防毒軟體難以偵測。面對這樣的高隱匿性攻擊，企業與個人用戶須提高警覺，以保障資料安全與隱私。

合法工具變身資安威脅

Remcos RAT（Remote Control and Surveillance）原是一款合法的遠端控制軟體，提供多樣化的裝置管理功能。然而，這套工具卻被駭客濫用，成為執行惡意操作的利器。Remcos RAT具備強大的資訊蒐集能力，可在受害電腦上存取系統資訊、遠端執行指令，並控制設備的攝影機、麥克風等資源。這些特性讓駭客能長期監控受害者，竊取敏感資料，帶來嚴重的資安風險。

更多新聞：駭客躲在ZIP檔 小心電郵藏殺手

透過釣魚信件引發的無檔案攻擊

此攻擊手法從一封假冒採購單的釣魚信件開始，誘導收件人下載並開啟其中的Excel附件。當受害者開啟Excel檔案時，該文件便利用Microsoft Office已知的CVE-2017-0199漏洞（CVSS評分7.8），讓駭客可遠端執行程式碼並下載HTML應用程式（HTA）檔案。該HTA檔案透過mshta.exe啟動後，進一步執行多層次的惡意程式碼，最終將Remcos RAT直接載入記憶體，實現無檔案感染，難以被偵測。

駭客多層防偵測技術躲避偵測

為了避開防毒軟體偵測，駭客採用多層次的防偵測技術，透過JavaScript、VBScript和PowerShell多重包裝來隱藏惡意程式碼。Remcos RAT進一步使用進程替換（process hollowing）技術，直接在記憶體中運行，讓偵測難度大幅提高。此惡意程式支援多項惡意操作，包括管理系統服務、編輯Windows註冊表、竊取檔案、截取螢幕畫面、遠端控制攝影機與麥克風，甚至能禁用鍵盤與滑鼠。這些遠端控制功能讓駭客能全面掌控受害者電腦資源，造成重大資安威脅。

新型釣魚手法層出不窮

除了透過Excel漏洞散佈Remcos RAT，近期出現更多新型釣魚手法。例如，駭客利用Docusign API發送假帳單，這些帳單使用合法的Docusign帳號發出，讓受害者難以辨別真偽。另外，還有駭客使用ZIP檔案拼接技術，將多個ZIP檔案串接成一個檔案，以繞過安全檢測，避開傳統防護工具。這些手法使釣魚攻擊更具威脅性，尤其對大型組織的資安防禦構成挑戰。企業應加強多層防護，提升員工資安意識，並優化系統設定來應對這類複雜的網路威脅。

資料來源：The Hacker News

※探索職場，透視薪資行情，請參考【科技類-職缺百科】幫助你找到最適合的舞台！

這篇文章 事故從收Excel電郵開始 駭客這回藏得很深 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。