資安威脅趨勢 - 木馬程式Orcinius透過假造的VBA程式碼進行散布

-

                                                                                      


木馬程式Orcinius透過假造的VBA程式碼進行散布

一、摘要

         資安業者SonicWall揭露名為Orcinius的RAT木馬程式,駭客利用罕見的手法「VBA stomping」來迴避偵測,並濫用雲端檔案共用服務Dropbox、雲端文件服務Google Docs來下載第2階段的有效酬載,並保持程式的最新狀態


註:VBA stomping指的是攻擊者利用假的VBA程式碼(p-code)取代原本執行VBA原始碼的流程,由於大部分的資安分析工具及防毒軟體通常會針對VBA原始碼進行檢查,使得這種手法有可能躲過相關檢測。


、存在風險

        資安業者SonicWall揭露名為Orcinius的RAT木馬程式,駭客利用罕見的手法「VBA stomping」來迴避偵測,並濫用雲端檔案共用服務Dropbox、雲端文件服務Google Docs來下載第2階段的有效酬載,並保持程式的最新狀態。


在初始感染階段,駭客會透過名為CALENDARIO AZZORTI.xls的Excel表單進行感染,該內容看起來像是義大利的日曆,其中包含了三個工作表,並討論不同城市的帳單週期。


一旦檔案開啟,將會開始運行巨集以及以下動作:

  1. 確認registry key和寫新的數值,其為了隱藏告警提示:
    • “HKCU\Software\Microsoft\Office\Excel\Security\VBAWarnings”
    • “HKCU\Software\Microsoft\Office\Word\Security\VBAWarnings”

  2. 使用 EnumThreadWindows 列舉目前正在運行的視窗
  3. 寫入 HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Excel\Resiliency\StartupItems來保持持久性
  4. 存取兩個編碼的 URL 並嘗試使用 WScript.Shell 下載
  5. 使用SetWindowsHookEx監控鍵盤輸入。
  6. 建立多個隨機計時器用於啟動和下載嘗試


IoC:

  • 28dd92363338b539aeec00df283e20666ad1bdee90d78c6376f615a0b9481f97
  • www-env.dropbox-dns[.]com
  • hxxps://docs.google[.]com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download
  • hxxps://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1


              建議改善措施:
      1. 定期更新系統和軟體。
      2. 執行存取控制,最小化存取之權限。
      3. 定期執行安全評估。
      4. 對內部員工實施教育訓練(如:勒索病毒、社交工程、惡意郵件),藉以提供員工資安意識。
      5. 鼓勵使用者向IT部門或資安部門說明發現可疑電子郵件和文件並使用工具阻止惡意電子郵件。
      6. 儘速導入雲智維服務,進行資安威脅情資偵測與聯防,降低企業資安風險。

      這個網誌中的熱門文章

      漏洞分享 - Fortinet 產品存在多個漏洞

      -
      圖片
                                                                                                                                                                   Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發遠端執行任意程式碼及繞過身份驗證。
      閱讀完整內容
      -->

      漏洞分享 - Fortinet 產品存在多個漏洞

      -
      圖片
                                                                                                                                                                           Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發跨網站指令碼、繞過身份驗證、敏感資料洩露、遠端執行任意程式碼及資料篡改。
      閱讀完整內容
      -->

      漏洞分享 - Fortinet 產品存在多個漏洞

      -
      圖片
                                                                                                                                                                                                           Fortinet 產品存在多個漏洞 一、 摘要             Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發敏感資料洩露、遠端執行任意程式碼及資料篡改 。
      閱讀完整內容
      -->

      案例分享-某企業AD上百組帳號大量登入失敗導致鎖定事件

      -
      圖片
        某企業 AD 上百組帳號大量登入失敗導致鎖定事件   一、案例故事 某企業客戶於某日下午發生 Exchange 遭受外部惡意主機大量進行暴力破解攻擊,導致企業內部環境 AD 伺服器短時間內被鎖定一百多筆帳號事件,而該企業也有在 Exchange 的 WebMail 上啟用雙因子認證,還是在短時間內遭受大量暴力破解攻擊,尋求雲智維科技團隊協助。  
      閱讀完整內容
      -->

      漏洞更新 - VMware修補vCenter Server heap-overflow和privilege escalation漏洞

      -
      圖片
                                                                                                                                                                  VMware修補vCenter Server heap-overflow和privilege escalation漏洞 一、 摘要           VMware於本週二(6/18)修補了位於vCenter Server中的3個安全漏洞,其中的CVE-2024-37079與CVE-2024-37080屬於堆積溢位漏洞,可導致遠端程式攻擊,其CVSS風險評分高達9.8,另一個CVE-2024-37081則是本地端權限擴充漏洞,CVSS風險評分為7.8。
      閱讀完整內容
      -->

      漏洞分享 - Fortinet 產品存在多個漏洞

      -
      圖片
                                                                                                    Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發遠端執行任意程式碼及繞過保安限制。
      閱讀完整內容
      -->

      漏洞分享 - Fortinet 產品存在多個漏洞

      -
      圖片
                                                                                                                                             Fortinet 產品存在多個漏洞 一、 摘要            Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發遠端執行任意程式碼、權限提升及繞過身份驗證。
      閱讀完整內容
      -->

      漏洞分享 - HPE Aruba OS存在多個危急漏洞

      -
      圖片
         HPE Aruba OS存在多個危急漏洞  一、 摘要          HPE Aruba Networking發布資安公告,網路設備作業系統ArubaOS存在4項危急漏洞,若不修補,攻擊者就有可能在尚未通過身分驗證的情況下,以特權使用者的身分,於作業系統底層執行任意程式碼。 二 、存在風險          HPE Aruba Networking發布資安公告,網路設備作業系統ArubaOS存在4項危急漏洞,若不修補,攻擊者就有可能在尚未通過身分驗證的情況下,以特權使用者的身分,於作業系統底層執行任意程式碼, 其影響系統或版本如下 : 受影響之系統/漏洞描述: Unauthenticated Buffer Overflow Vulnerability in the Utility Daemon Accessed via the PAPI Protocol  CVE編號 : CVE-2024-26305  漏洞描述 : 在底層的Utility守護程序中存在緩衝區溢出漏洞,可能會通過發送特製封包到PAPI(Aruba的訪問點管理協議)UDP端口(8211)來進行未經身份驗證的遠程代碼執行。成功利用此漏洞將以特權用戶的身份在底層操作系統上執行任意代碼。 影響系統/版本 : ArubaOS 10.5.x.x: 10.5.1.0及以下 ArubaOS 10.4.x.x: 10.4.1.0及以下 ArubaOS 8.11.x.x: 8.11.2.1及以下 ArubaOS 8.10.x.x: 8.10.0.10及以下 Unauthenticated Buffer Overflow Vulnerability in the  L2/L3 Management Service Accessed via the PAPI Protocol CVE編號 : CVE-2024-26304 漏洞描述 : 在底層L2/L3管理服務中存在緩衝區溢出漏洞,可能通過發送特製封包到PAPI(Aruba的存取點管理協議)UDP端口(8211)來導致未經身份驗證的遠程代碼執行。成功利用此漏洞會導致在基礎操作系統上以特權用戶的身份執行任意代碼。 影響系統/版本 : ArubaOS 10.5.x.x: 10.5.1.0及以下 ArubaOS 10.4.x.x: 10.4.1.0及以下 ArubaOS
      閱讀完整內容
      -->

      漏洞分享 - Fortinet 產品存在多個漏洞

      -
      圖片
                                                                                                                                                                          Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發跨網站指令碼、繞過身份驗證、敏感資料洩露及資料篡改。
      閱讀完整內容
      -->

      漏洞分享 - Fortinet 產品存在多個漏洞

      -
      圖片
                                                                                                                                                               Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發遠端執行任意程式碼、洩露敏感資料、權限提升及繞過保安限制。
      閱讀完整內容
      -->