APT黑客转向恶意 Excel 加载项作为初始入侵向量

Microsoft 决定默认阻止从 Internet 下载的 Office 文件使用 Visual Basic for Applications (VBA) 宏，这导致许多攻击者在最近几个月创作了新的攻击链。

现在，根据Cisco Talos的说法，高级持续性威胁 (APT) 攻击者和商业木马家族越来越多地使用 Excel 加载项 (.XLL) 文件作为初始入侵向量。

通过鱼叉式网络钓鱼电子邮件和其他社会工程攻击传递的武器化 Office 文档仍然是执行恶意代码的切入点之一。

这些文档传统上会提示受害者启用宏来查看看似无害的内容，在后台秘密激活恶意软件的执行。

为了应对这种滥用，微软从 2022 年 7 月实施了一项重要更新，即默认阻止电子邮件附件中Office 文件中的宏，有效地切断了一个关键的攻击媒介。

虽然此封锁仅适用于新版本的 Access、Excel、PowerPoint、Visio 和 Word，但不法分子一直在尝试使用其他感染途径来部署恶意软件。

一种方法是使用XLL 文件，Microsoft 将其描述为“只能由 Excel 打开的动态链接库 (DLL) 文件类型”。

攻击者使用C++ 编写的插件以及使用名为 Excel-DNA 的免费工具开发的插件。据说第一次公开记录的 XLL 恶意使用发生在 2017 年，APT10 （又名 Stone Panda）攻击者利用该技术通过进程挖空将其后门有效负载注入内存。

其他已知的攻击团伙包括TA410（与 APT10 有关联的攻击者）、DoNot Team、FIN7，以及商品恶意软件系列，例如Agent Tesla、Arkei、Buer、Dridex、Ducktail、Ekipa RAT、FormBook、IcedID、Vidar Stealer。

Palo Alto Networks Unit 42分析了滥用 XLL 文件格式来分发Agent Tesla和Dridex，并指出它“可能预示着威胁形势的新趋势”。

Ekipa RAT除了包含 XLL Excel 加载项外，还在 2022 年 11 月更新，允许利用 Microsoft Publisher 宏来删除远程访问木马并窃取敏感信息。

微软阻止宏在从 Internet 下载的文件中执行的限制并未扩展到 Publisher 文件，使对手能够利用这一途径进行网络钓鱼活动。