事故從收Excel電郵開始 駭客這回藏得很深李佩璇 (2024-11-12 14:21:47)





網路安全研究人員最近揭露一種透過Microsoft Excel已知漏洞的攻擊手法,該手法可在無檔案模式下,散布Remcos RAT惡意程式。


編譯/Cynthia




網路安全研究人員最近揭露一種透過Microsoft Excel已知漏洞的攻擊手法,該手法可在無檔案模式下,散布Remcos RAT惡意程式。攻擊從釣魚信件開始,誘使受害者開啟含有惡意程式碼的Excel檔案,使Remcos RAT能悄悄植入受害者電腦中。這種無檔案攻擊更加隱蔽,因為它不會在硬碟留下檔案痕跡,讓傳統防毒軟體難以偵測。面對這樣的高隱匿性攻擊,企業與個人用戶須提高警覺,以保障資料安全與隱私。






研究人員近期發現一種透過釣魚信件引發的無檔案攻擊。(圖/123RF)



合法工具變身資安威脅




Remcos RAT(Remote Control and Surveillance)原是一款合法的遠端控制軟體,提供多樣化的裝置管理功能。然而,這套工具卻被駭客濫用,成為執行惡意操作的利器。Remcos RAT具備強大的資訊蒐集能力,可在受害電腦上存取系統資訊、遠端執行指令,並控制設備的攝影機、麥克風等資源。這些特性讓駭客能長期監控受害者,竊取敏感資料,帶來嚴重的資安風險。




更多新聞:駭客躲在ZIP檔 小心電郵藏殺手




透過釣魚信件引發的無檔案攻擊




此攻擊手法從一封假冒採購單的釣魚信件開始,誘導收件人下載並開啟其中的Excel附件。當受害者開啟Excel檔案時,該文件便利用Microsoft Office已知的CVE-2017-0199漏洞(CVSS評分7.8),讓駭客可遠端執行程式碼並下載HTML應用程式(HTA)檔案。該HTA檔案透過mshta.exe啟動後,進一步執行多層次的惡意程式碼,最終將Remcos RAT直接載入記憶體,實現無檔案感染,難以被偵測。




駭客多層防偵測技術躲避偵測




為了避開防毒軟體偵測,駭客採用多層次的防偵測技術,透過JavaScript、VBScript和PowerShell多重包裝來隱藏惡意程式碼。Remcos RAT進一步使用進程替換(process hollowing)技術,直接在記憶體中運行,讓偵測難度大幅提高。此惡意程式支援多項惡意操作,包括管理系統服務、編輯Windows註冊表、竊取檔案、截取螢幕畫面、遠端控制攝影機與麥克風,甚至能禁用鍵盤與滑鼠。這些遠端控制功能讓駭客能全面掌控受害者電腦資源,造成重大資安威脅。




新型釣魚手法層出不窮




除了透過Excel漏洞散佈Remcos RAT,近期出現更多新型釣魚手法。例如,駭客利用Docusign API發送假帳單,這些帳單使用合法的Docusign帳號發出,讓受害者難以辨別真偽。另外,還有駭客使用ZIP檔案拼接技術,將多個ZIP檔案串接成一個檔案,以繞過安全檢測,避開傳統防護工具。這些手法使釣魚攻擊更具威脅性,尤其對大型組織的資安防禦構成挑戰。企業應加強多層防護,提升員工資安意識,並優化系統設定來應對這類複雜的網路威脅。




資料來源:The Hacker News




※探索職場,透視薪資行情,請參考【科技類-職缺百科】幫助你找到最適合的舞台!



這篇文章 事故從收Excel電郵開始 駭客這回藏得很深 最早出現於 科技島-掌握科技新聞、科技職場最新資訊

加密貨幣
比特幣BTC 98133.94 5,792.05 6.27%
以太幣ETH 3351.64 240.52 7.73%
瑞波幣XRP 1.18 0.08 7.08%
比特幣現金BCH 479.86 32.80 7.34%
萊特幣LTC 88.39 1.57 1.81%
卡達幣ADA 0.791947 0.05 7.07%
波場幣TRX 0.198499 0.00 -0.69%
恆星幣XLM 0.245957 0.01 6.01%
投資訊息
相關網站
股市服務區
行動版 電腦版
系統合作: 精誠資訊股份有限公司
資訊提供: 精誠資訊股份有限公司
資料來源: 台灣證券交易所, 櫃買中心, 台灣期貨交易所
依證券主管機關規定,使用本網站股票、期貨等金融報價資訊之會員,務請詳細閱讀「資訊用戶權益暨使用同意聲明書」並建議會員使用本網站資訊, 在金融和投資等方面,能具有足夠知識及經驗以判斷投資的價值與風險,同時會員也同意本網站所提供之金融資訊, 係供參考,不能做為投資交易之依據;若引以進行交易時,仍應透過一般合法交易管道,並自行判斷市場價格與風險。
請遵守台灣證券交易所『交易資訊使用管理辦法』等交易資訊管理相關規定本資料僅供參考,所有資料以台灣證券交易所、櫃買中心公告為準。 因網路傳輸問題造成之資料更新延誤,精誠資訊不負交易損失責任。