威脅 Microsoft Office 文檔的 LokiBot 惡意軟件

在微軟發生重大事件的一周裡，包括中國 APT 攻擊和補丁星期二期間對被利用的零日漏洞進行修補，研究人員在觀察惡意 Microsoft Office 文檔的多個實例時發現了一個令人震驚的發現，這些實例在執行後會釋放LokiBot 惡意軟件到目標系統。這種惡意軟件通過滲透受害者的系統來嚴重威脅受害者，可能導致未經授權的訪問和數據盜竊。

利用眾所周知的漏洞，即 CVE-2021-40444 (CVSS 7.8) 和 CVE-2022-30190 (CVSS 7.8)，威脅性的 Microsoft Office 文檔已成為臭名昭著的 LokiBot 惡意軟件滲透的門戶。儘管針對這些漏洞的補丁已經發布了一年多，但攻擊者仍然利用了未修補的系統。

LokiBot是什麼？

LokiBot 是一種自 2015 年以來存在已久的信息竊取木馬，專注於 Windows 平台，試圖從受感染的計算機中提取有價值的數據。它在威脅環境中的持續存在凸顯了維持強大的安全措施以防禦不斷變化的網絡威脅的重要性。

LokiBot利用有害技術的組合來執行其有害活動。它利用多個漏洞並使用 Visual Basic for Applications (VBA) 宏來發起攻擊。此外，LokiBot 還包含一個 Visual Basic 注入器，有助於逃避檢測和分析。通過利用該注入器，惡意軟件可以繞過特定的安全措施，從而對用戶構成巨大的威脅。 LokiBot 採用這些先進技術的能力凸顯了實施強大的安全措施和對不斷變化的網絡威脅保持警惕的重要性。

寧可謹慎

研究人員強烈建議用戶在處理 Office 文檔或不熟悉的文件（尤其是包含外部網站鏈接的文件）時要謹慎行事並採取謹慎的態度。他們強調保持警惕並避免點擊可疑鏈接或打開來自不受信任來源的附件的重要性。此外，使軟件和操作系統保持最新的安全補丁對於降低惡意軟件利用的風險至關重要。

這些已知的漏洞帶來了重大挑戰，因為它們利用了針對最終用戶的經典社會工程技術。攻擊者依靠誘人的附件，希望毫無戒心或保護不充分的用戶打開它們。這凸顯了強大的網絡安全意識和教育的必要性，以幫助用戶識別和避免潛在威脅。

幸運的是，微軟已採取主動措施來解決該問題並提供解決方案，這強調了安全團隊需要確保其端點保護產品是最新的。

始終將遠程代碼執行漏洞視為威脅級別的首要任務至關重要。您最好徹底檢查妥協指標並進行初步調查，以驗證漏洞是否影響了它們。這種主動的方法使組織能夠及時識別並減輕任何潛在的影響。

LokiBot 這種新包裝的出現引起了人們的嚴重關注，因為它能夠逃避檢測、隱藏其活動並可能洩露敏感數據。為了解決這個問題，組織不應簡單地停止使用 Microsoft Office，而應優先採取行動以保護其係統。這包括定期更新補丁和反惡意軟件簽名，以及教育用戶在處理 Office 文檔時要小心謹慎。通過採取這些主動措施，組織可以加強防禦並最大限度地減少成為此類破壞性活動受害者的風險。

威脅 Microsoft Office 文檔的 LokiBot 惡意軟件 截图