Proofpoint：新的Office文檔漏洞利用工具包ThreadKit已被發現

「用指尖改變世界」

根據網路安全公司Proofpoint的說法，他們的安全研究人員發現了一款新的Microsoft Office文檔漏洞利用工具包，已經被許多網路犯罪集團（如Cobalt Gang）用於傳播各種惡意軟體的有效載荷包括銀行木馬（如Trickbot和Chthonic）和後門程序（如FormBook 和Loki Bot）。

被命名為「ThreadKit」的漏洞利用工具包最初是在2017年10月被發現的，但Proofpoint的研究人員表示，它的分發最早可能開始於2017年6月。

雖然由該工具包生成的文檔與最具影響力的Microsoft Office惡意軟體工具包Micorsoft Word Intruder（MWI）生成的文檔存在一定程度的相似性，但研究人員確定這些文檔是由一個新的工具包生成的，也就是ThreadKit。

在2017年6月，ThreadKit被發布在一個黑客論壇上。根據其開發者的描述，它能夠創建帶有嵌入式可執行文件和嵌入式誘餌文件的文檔。

研究人員表示，ThreadKit的確具有這種能力，並且已經被用於多起實際攻擊活動中。文檔使用「INCLUDEPICTURE」欄位對命令和控制（C＆C）伺服器執行初始登記，而這也是MWI使用的策略之一。

這些文檔利用CVE-2017-0199漏洞下載並執行HTA文件，然後下載誘餌文檔和可提取並運行嵌入式可執行文件的惡意VB腳本。這個感染鏈導致了惡意軟體Smoke Loader的安裝，而作為最終有效荷載的Trickbot銀行木馬將會由Smoke Loader下載。

在2017年10月份，ThreadKit的開發者推出了新版本，增加了對CVE 2017-8759漏洞的利用，但仍繼續使用最初的C＆C登記和HTA文件來執行嵌入式可執行文件。區別在於，新版本對漏洞利用文件的運行方式進行了更改，且傳播的最終有效載荷切換成了Chthonic銀行木馬。

在2017年即將結束之際，ThreadKit承諾會在最短的時間內將最新的Microsoft Office漏洞利用整合到ThreadKit中。在2017年11月21日推出的新版本中，CVE 2017-11882漏洞已經能夠被利用。

在今年2月和3月，ThreadKit更是在極短時間內被新增了對多個漏洞的利用，包括Adobe Flash零日漏洞（CVE-2018-4878）和兩個Microsoft Office漏洞（CVE-2018-0802和 CVE-2017-8570）。

另外，這個版本的ThreadKit還包含了對嵌入式誘餌和惡意軟體提取和執行的重大修改，而傳播的最終有效荷載切換成了用於構建殭屍網路的Neutrino Bot。

Proofpoint表示，ThreadKit是一個相對較新且十分受歡迎的文檔漏洞利用工具包。至少從2017年6月起，已經被許多網路犯罪集團用於開展各種各樣的攻擊活動。並且它的使用極其方便，即使是只具備低技能的惡意攻擊者也能通過它來利用最新的Microsoft Office漏洞。

ThreadKit可被用於分發各種惡意軟體，這會給廣大計算機用戶帶來廣泛且不確定的潛在威脅，因此Proofpoint建議個人或者組織應當確保及時為Microsoft Office或者其他應用程序安裝最新發布的安全補丁，從而減輕由ThreadKit或者其他漏洞利用工具帶來的網路攻擊風險。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！