趋势科技发现了一种潜在的针对性攻击，它利用合法的脚本引擎AutoHotkey和恶意脚本文件。此文件作为电子邮件附件分发，伪装成文件名为“Military Financing.xlsm”的合法文档。用户需要启用宏才能完全打开，这将使用AutoHotkey加载恶意脚本文件以避免检测。然后，它将使威胁参与者窃取某些信息，甚至下载TeamViewer以获得对系统的远程访问。

    如果用户启用宏来打开xlsm文件，它将释放合法脚本引擎AutoHotkey以及恶意脚本文件。AutoHotkey加载恶意脚本文件后，会连接到其C＆C服务器以下载并执行其他脚本文件以响应来自服务器的命令。在我们的观察中，它最后下载并执行了TeamViewer以获得对系统的远程控制。但是，它可以下载并执行其他脚本文件，具体取决于它从C＆C服务器接收的命令。

EXCEL文件

所附的excel文件名为“外国军事融资（FMF）” ，以美国国防安全合作局的一项计划命名。诱导受害者启用宏，以便他们可以访问机密信息。

乍一看，excel文件似乎只有一个填充表。但是，如图2所示，它有另一张不明显地用“”或空格命名的表格。

    ​一旦用户为此文件启用宏，它将通过在空白工作表的两列中以二进制文本形式写入的HEX字符串释放两个文件。这些HEX字符串最初是用白色字体编写的，使其看起来好像列是空白的。这些释放的文件是：

第X栏的内容：「C：\ ProgramData \ AutoHotkeyU32.exe」（合法的AutoHotkey可执行文件）

列Y的内容：「C：\ ProgramData \ AutoHotkeyU32.ahk」（攻击者创建的AutoHotkey的恶意脚本）

恶意脚本和AutoHotkey

    ​根据脚本文件，AutoHotkey应用程序可以分配热键或执行脚本文件中编写的任何进程。在这种情况下，脚本文件AutoHotkeyU32.ahk不会分配热键，但它会执行以下命令：

在AutoHotkeyU32.exe的启动文件夹中创建一个链接文件，即使系统重启后攻击仍然存在。

每10秒连接到C＆C服务器，以下载，保存和执行包含命令的脚本文件。

发送C驱动器的卷序列号，允许攻击者识别受害者

    ​当攻击者通过C＆C发送类似于上图示例中所示的响应时，脚本文件将HEX字符串转换为纯文本，转换为URL“001 :: hxxp：//185.70.186.145/7773/plug /hscreen.ahk。“然后它从这个URL下载ahk文件（hscreen.ahk），使用随机文件名将文件保存在”％temp％“文件夹中，最后通过AutoHotkeyU32.exe加载它来执行它。在撰写本文时，该网址已不再可用。

    ​    ​进一步研究发现了其他涉及此攻击的文件。这些文件允许攻击者获取计算机名称并进行屏幕捕获。更重要的是，其中一个文件还可以下载TeamViewer，这是一个远程访问工具，可以让威胁演员远程控制系统。

    ​我们尚未得出此攻击的确切目的。目前，我们可以推测，由于其网络间谍能力，以及提供勒索软件和硬币计划器的潜力，它具有潜在的针对性攻击的能力。

总结

继续监控此攻击时，用户可以针对类似案例重新评估其安全措施。针对大多数攻击，用户应实施多层防御并制定缓解协议以检测和解决入侵问题。用户还应通过增强设置来充分利用其网络防御解决方案，尤其是针对宏恶意软件附加电子邮件。

此类攻击强调在从未知来源下载文件并为未知来源的文件启用宏之前需要谨慎。Microsoft提供了有关启用内容的若干安全通知。

其他最佳做法：

在下载和打开附件之前，始终检查发件人，标题和正文是否有任何可疑细节。

始终检查任何附加文件的扩展名，以查看它是否与收到的电子邮件一致。

在启用内容以打开文件之前，请检查红色标记，例如促使用户启用宏的内容或显示为空白的内容。

欢迎关注共众号：威胁情报小屋了解更多黑客攻击信息