Office “公式编辑器” bug 已遭利用

翻译：360代码卫士团队

这个黑客组织是 Cobalt，两年来一直针对银行、ATM 网络和金融机构发动针对性攻击。

英国网络安全公司Reversing Labs表示，Cobalt 组织正在将带有利用CVE-2017-11882 利用代码的RTF文档传播到高价值目标中。CVE-2017-11882 即 Office “公式编辑器”组件，它能让攻击者在无需用户交互的前提下在受害者计算机中执行代码。这个漏洞对于网络犯罪组织来说价值极高。

除了这个漏洞本身带来的损失外，Cobalt很可能还利用了上周网络上公布了四个PoC。Reversing Labs 指出，Cobalt 黑客组织目前正在发送恶意RTF文件，它会利用 CVE-2017-11882 利用代码来下载并运行其它恶意文件。这个感染链会经历多个步骤，不过最后都会下载并加载尚未来得及深入分析的一个恶意DLL文件。

Proofpoint 公司的研究员 Matthew Mesa 也看到了同样的恶意邮件，不过看到的是稍有不同的利用链。

Cobalt 组织此前在发现微软bug后会立即应用到攻击活动中。例如CVE-2017-8759 就是如此。它是一个远程代码执行漏洞，影响 .NET框架，由微软在 2017 年 9 月的“补丁星期二”中修复。

安全公司首次在 2016 年发现 Cobalt 黑客组织的存在，当时它正在针对欧洲的 ATM 机和金融机构发动攻击。随后该组织针对美洲、俄罗斯银行发动攻击。它将前苏联的地盘作为新攻击的试验地，然后转向价值更高的地方。

Cobalt 组织最为人知的恶意软件家族是Cobalt Strike，它是根据同名商业渗透测试软件命名的，因为它使用了这款软件中的一些组件。

历史证明，一旦PoC公布，漏洞从专业的网络犯罪团伙滑向垃圾僵尸网络的速度很快。用户应立即更新微软在11月“补丁星期二”中推出的KB2553204、KB3162047、KB4011276 和 KB4011262 以阻止CVE-2017-11882 遭利用。

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。

原文链接：

https://www.bleepingcomputer.com/news/security/a-hacking-group-is-already-exploiting-the-office-equation-editor-bug/