威胁 Microsoft Office 文档的 LokiBot 恶意软件

在微软发生重大事件的一周里，包括中国 APT 攻击和补丁星期二期间对被利用的零日漏洞进行修补，研究人员在观察恶意 Microsoft Office 文档的多个实例时发现了一个令人震惊的发现，这些文档在执行后会释放LokiBot 恶意软件到目标系统。这种恶意软件通过渗透受害者的系统来严重威胁受害者，可能导致未经授权的访问和数据盗窃。

利用众所周知的漏洞，即 CVE-2021-40444 (CVSS 7.8) 和 CVE-2022-30190 (CVSS 7.8)，威胁性的 Microsoft Office 文档已成为臭名昭著的 LokiBot 恶意软件渗透的门户。尽管针对这些漏洞的补丁已经发布了一年多，但攻击者仍然利用了未修补的系统。

LokiBot是什么？

LokiBot 是一种自 2015 年以来存在已久的信息窃取木马，专注于 Windows 平台，试图从受感染的计算机中提取有价值的数据。它在威胁环境中的持续存在凸显了维持强大的安全措施以防御不断变化的网络威胁的重要性。

LokiBot利用有害技术的组合来执行其有害活动。它利用多个漏洞并使用 Visual Basic for Applications (VBA) 宏来发起攻击。此外，LokiBot 还包含一个 Visual Basic 注入器，有助于逃避检测和分析。通过利用该注入器，恶意软件可以绕过特定的安全措施，从而对用户构成巨大的威胁。 LokiBot 采用这些先进技术的能力凸显了实施强大的安全措施和对不断变化的网络威胁保持警惕的重要性。

宁可谨慎

研究人员强烈建议用户在处理 Office 文档或不熟悉的文件（尤其是包含外部网站链接的文件）时要谨慎行事并采取谨慎的态度。他们强调保持警惕并避免点击可疑链接或打开来自不受信任来源的附件的重要性。此外，使软件和操作系统保持最新的安全补丁对于降低恶意软件利用的风险至关重要。

这些已知的漏洞带来了重大挑战，因为它们利用了针对最终用户的经典社会工程技术。攻击者依靠诱人的附件，希望毫无戒心或保护不充分的用户打开它们。这凸显了强大的网络安全意识和教育的必要性，以帮助用户识别和避免潜在威胁。

幸运的是，微软已采取主动措施来解决该问题并提供解决方案，这强调了安全团队需要确保其端点保护产品是最新的。

始终将远程代码执行漏洞视为威胁级别的首要任务至关重要。您最好彻底检查妥协指标并进行初步调查，以验证漏洞是否影响了它们。这种主动的方法使组织能够及时识别并减轻任何潜在的影响。

LokiBot 这种新包装的出现引起了人们的严重关注，因为它能够逃避检测、隐藏其活动并可能泄露敏感数据。为了应对这一问题，组织不应简单地停止使用 Microsoft Office，而应优先采取行动以保护其系统。这包括定期更新补丁和反恶意软件签名，以及教育用户在处理 Office 文档时要小心谨慎。通过采取这些主动措施，组织可以加强防御并最大限度地减少成为此类破坏性活动受害者的风险。

威胁 Microsoft Office 文档的 LokiBot 恶意软件 截图