概述

  瑞星威胁情报平台于2023年3月捕获到一起疑似针对韩国用户的攻击事件。攻击者使用DOCM格式的诱饵文档，将其伪装成韩国法院电子信访中心提供的离婚确认申请书，并在其内部嵌入了恶意的宏代码。猜测攻击者大概率是通过使用网络钓鱼、垃圾邮件等社工方式进行投递，诱骗用户启用宏代码，从而启动攻击行动。此次事件的感染链中，攻击者将不同阶段使用到的恶意载荷托管在合法的网络云盘中，以此躲避本地安全检测机制，而最后阶段使用到的恶意载荷是名xRAT的开源远控工具，该工具是以知名的QuasarRAT开源工具为基础改进而来的，可帮助攻击者实现对于入侵主机的信息窃取及长期控制等目的。