我们的威胁猎手一直在忙著搜寻最近公开的 Microsoft Office 零日远端代码执行漏洞 (CVE202230190) 的滥用事件。在调查过程中，他们发现一名威胁行为者似乎在一个位于南太平洋国家帛琉的澳大利亚 VOIP 电信服务提供商上托管了恶意载荷。

进一步分析显示，帛琉的目标被发送了恶意文件，当这些文件被打开时，会利用该漏洞，导致受害者的计算机访问该服务提供商的网站，下载并执行恶意软体，从而被感染。

主要观察结果

这一威胁是一个复杂的多阶段操作，利用了 LOLBASLiving off the Land Binaries And Scripts，使攻击者能够使用 Microsoft Support Diagnostic Tool 中的 CVE202230190 漏洞启动攻击。这个漏洞允许威胁行为者在不需要用户下载可执行文件的情况下运行恶意代码，这些可执行文件可能会被端点侦测系统检测到。

这款恶意软体的多个阶段均使用了合法公司的证书进行签名，以增强其合法性并降低被检测的机会。

第一阶段

下图所示的被骇网站用于托管一个名为 robotstxt 的可执行文件，该文件被伪装成robotstxt。我们相信这个名称是用来隐藏自己，以避免在网络日志中被检测到。使用诊断故障排除工具 (msdtexe)，该文件robotstxt被下载并保存为文件 (Sihostexe)，然后被执行。

第二阶段，Sihostexe

当被重命名的robotstxt文件即Sihostexe被 msdtexe 执行时，它下载了攻击的第二阶段，一个哈希值为 b63fbf80351b3480c62a6a5158334ec8e91fecd057f6c19e4b4dd3febaa9d447 的加载器。这个可执行文件随后被用来下载和解密攻击的第三阶段，该加密文件被存储为faviconsvg在同一台网络服务器上。

第三阶段，faviconsvg

在该文件被解密后，它用来从 palauvoipstelecomcom[]au 下载攻击的第四阶段。这些文件被命名为 Sevntx64exe 和 Sevntxlnk，然后在受害者的计算机上执行。

第四阶段，Sevntx64exe 和 Sevntx64lnk

当该文件被执行时，它从 AsyncRat 恶意软体家族中加载一个 66kb 的 shellcode；Sevntx64exe 的签名与先前robotstxt中看到的被骇公司的同一证书相符。

下图显示可执行文件正在加载 shellcode。

最后阶段，AsyncRat

当可执行文件被加载后，计算机就完全被 AsyncRat 侵害；此木马配置为通过 palau[]voipstelecom[]com[]au 在 443 端口与服务器通信。

AsyncRat SHA256：

aba9b566dc23169414cb6927ab5368b590529202df41bfd5dded9f7e62b91479

下图为 AsyncRat 的配置。

结论

我们强烈建议使用 Avast 软体来防护最新的威胁，并保持 Microsoft 补丁更新以保护您的 Windows 系统免受最新 CVE202230190 漏洞的影响。

IOCs

项目 SHA256 主网页 0af202af06aef4d36ea151c5a304414a67aee18c3675286275bd01d11a760c04robotstxt b63fbf80351b3480c62a6a5158334ec8e91fecd057f6c19e4b4dd3febaa9d447faviconsvg ed4091700374e007ae478c048734c4bc0b7fe0f41e6d5c611351bf301659eee0解密后的 faviconsvg 9651e604f972e36333b14a4095d1758b50decda893e8ff8ab52c95ea89bb9f74Sevntx64exe f3ccf22db2c1060251096fe99464002318baccf598b626f8dbdd5e7fd71fd23fSevntx64lnk 33297dc67c12c7876b8052a5f490cc6a4c50a22712ccf36f4f92962463eb744dSevntx64exe 的 shellcode (66814 bytes) 7d6d317616d237ba8301707230abbbae64b2f8adb48b878c528a5e42f419133aAsyncRat aba9b566dc23169414cb6927ab5368b590529202df41bfd5dded9f7e62b91479

额外资讯

我们成功找到了这款恶意软体的早期版本。

文件 哈希 首次出现 国家 Grievance Against Lawyers Judge or Justicedocexe (已签名) 87BD2DDFF6A90601F67499384290533701F5A5E6CB43DE185A8EA858A0604974 2022年5月26日 荷兰，代理Grievance Against Lawyers Judge or Justice (1)zipGrievance Against Lawyers Judge or Justicedocexe 0477CAC3443BB6E46DE9B904CBA478B778A5C9F82EA411D44A29961F5CC5C842 2022年5月18日 帛琉，之前的受害者

来自 lnk 文件的法医信息：

字段 值 应用程序 Sevntx64exe访问时间 2022年5月19日 093426出生设备 MAC 地址 000C29593CCC出生设备文件 ID 0e711e902ecfec11954f000c29593ccc出生设备卷 ID b097e82425d6c944b33e40f61c831eaf创建时间 2022年5月19日 102934驱动器序列号 0xd4e21f4f驱动器类型 DRIVEFIXED设备文件 ID 0e711e902ecfec11954f000c29593ccc设备卷 ID b097e82425d6c944b33e40f61c831eaf文件标志 FILEATTRIBUTEARCHIVE FILEATTRIBUTEREADONLY已知文件夹 ID af2448ede4dca84581e2fc7965083634链接标志 EnableTargetMetadata HasLinkInfo HasRelativePath HasTargetIDList HasWorkingDir IsUnicodeLocal基本路径 CUsersPublicDocumentsSevntx64exe位置 本地MAC 地址 000C29593CCC计算机识别码 desktopeev1hc3修改时间 2020年8月19日 041344相对路径 Sevntx64exe大小 1543目标文件大小 376368工作目录 CUsersPublicDocuments

标记为分析，follina，恶意软体，rat，漏洞