远程模板
研究人员分析settings.xml.rels中嵌入的远程模板发现其中含有完全特征的VBA 远程访问木马,可以执行以下功能:
◼收集受害者信息;
◼识别受害者机器上运行的反病毒软件;
◼执行shell-code;
◼删除文件;
◼上传和下载文件;
◼读取硬盘和文件系统信息。
第二个模板嵌入在Document.xml.rels文件中,会加载在文件中。研究人员分析加载的代码发现其中包含一个IE CVE-2021-26411漏洞利用,该漏洞利用曾被Lazarus APT组织用于攻击安全研究人员。漏洞利用中执行的shellcode也部署了远程模板注入加载的VBA RAT。
加载了远程模板后,恶意文件会加载一个俄语的诱饵文件。
图 1: 诱饵文件
文档分析
恶意文件(“Манифест.docx”)中含有settings.xml.rels 和document.xml.rels中的2个模板。位于settings.xml.rels的远程模板会下载一个宏武器化的模板,并加载到当前的文件中。远程模板中包含有具备完全RAT功能的宏代码:
第二个模板嵌入在document.xml.rels中,也会加载在主文档的对象中。该模板中含有CVE-2021-26411的漏洞利用代码。
图 2: Document.xml.rels
远程模板使用的漏洞利用代码与ENKI安全公司之前报告的类似。
图 3: 漏洞利用代码
该漏洞利用执行的shell-code会部署settings.xml.rels中嵌入的远程模板加载的VBA RAT。攻击者还会尝试使用两种方法来部署VBA RAT。