研究人員披露新型 Office 惡意軟件，黑客對 30 多個國家用戶發起攻擊

網絡安全研究人員披露了一種新型 Office 惡意軟件，該惡意軟件是作為惡意電子郵件活動的一部分分發的，該活動針對全球 80 多個客戶，以試圖控制受害計算機并遠程竊取信息。

這個名為“ APOMacroSploit”的工具是一種是一種宏漏洞利用程序生成器，用戶可以創建一個 Excel 文檔，從而繞過防病毒軟件、 Windows Antimalware Scan Interface （AMSI)），甚至 Gmail 和其他基于電子郵件的釣魚檢測。

APOMacroSploit 被認為是兩個法國黑客 Apocaliptique 和 Nitrix 的作品。據估計，他們在不到兩個月的時間內在 Hackforums 上出售該產品至少賺了 5000 美元。

據說總共有大約 40 名黑客參與了這次行動，他們利用 100 個不同的電子郵件發送者發起了一系列針對 30 多個國家用戶的攻擊。網絡安全公司 Check Point 稱，這些攻擊在 2020 年 11 月底首次被發現。

Check Point 在一份報告中表示: “當 XLS 文檔的動態內容啟用，XLM 宏自動開始下載 Windows 系統命令腳本時，惡意軟件感染就開始了?！?/p>

這個系統命令腳本是從 cutt.ly 中檢索到的，它指向托管多個 BAT 腳本的服務器，這些 BAT 腳本將客戶的昵稱附加到文件名中。這些腳本還負責在 Windows 系統上執行惡意軟件（“ fola.exe”） ，但必須在 Windows Defender 文件的排除路徑中添加惡意軟件位置，并禁用 Windows 清理功能。該惡意軟件是一個 Delphi Crypter 和一個名為 BitRAT 的第二階段遠程訪問特洛伊木馬

在其中一次攻擊中，人們在保加利亞的一個醫療設備和用品網站上發現了這種惡意軟件。攻擊者入侵了該網站，存儲了惡意可執行文件。

使用“crypters”或“packers”的想法在威脅參與者中越來越流行，這不僅可以壓縮惡意軟件樣本，而且可以使惡意軟件樣本更具規避性和逆向工程性。

去年 8 月正式記錄在案的 BitRAT 提供了以下功能: 挖掘加密貨幣、入侵網絡攝像頭、記錄擊鍵、下載和上傳任意文件，以及通過命令控制服務器遠程控制系統。在這種情況下，服務器解決了保加利亞一個合法視頻監控系統網站的子域名問題。

在 Check Point 的進一步調查中，他們追蹤了這兩家運營商留下的數字蹤跡，最終導致研究人員揭露了 Nitrix 的真實身份。他在 Twitter 上發布了自己 2014 年 12 月購買的一張演唱會門票的照片，并透露了自己的真實姓名。

Nitrix 是一位來自 Noisy-Le-Grand 的軟件開發人員，并擁有 4 年的軟件開發經驗。而 Apocaliptique 的身份還未確定，根據他使用的其他名稱“apo93”和“apocaliptique93”，研究人員懷疑他是法國居民。
Check Point 公司表示，他們已經向執法部門通報了攻擊者的身份。