概述

  瑞星威胁情报于2024年2月捕获一起疑似针对白俄罗斯的攻击事件，攻击者向受害者投递带恶意附件的钓鱼邮件进行攻击，恶意附件是个DOCX文档，DOCX文档内被注入了恶意链接，恶意链接指向带有公式编辑器漏洞CVE-2017-11882的RTF文档，漏洞文档会访问特定网址下载VBS脚本并运行。VBS脚本经过混淆处理，解混淆后会获得一段PowerShell代码，PowerShell代码会从指定网址上获取被base64编码后的.NET程序，解码出.NET程序后，它会将从指定网址上下载的Remcos远控软件注入白文件RegAsm.exe中运行起来。Remcos远控工具有远程桌面、键盘记录、文件管理、命令执行等多种功能，它是一家名为Breaking Security的德国公司以远程控制和监视为名出售的合法工具，但经常被黑客滥用。