概述
1
Patchinfecter木马,该木马遍历机器上最近打开的文档,并注入恶意代码,如果受害者将文档共享给其他人,那么该受控机器的其他联系人也会成为新的受控者。跟常见的钓鱼文档不同,此种感染白文件的方式,完全可以造成一个身份受信任的人不通过邮件方式将恶意文件传给其他人的情况,那么会极大的提高恶意文档的点开率。根据其特性,知道创宇APT威胁情报团队将其命名为Patchinfecter木马。
2
Infectedloader,该文件为Patchinfecter木马生成的恶意文档,利用CVE-2021-40444漏洞进行后续木马传播,CVE-2021-40444为微软MHTML远程命令执行漏洞,攻击者可通过传播Microsoft Office文档,诱导目标点击文档从而在目标机器上执行任意代码,在受控机器上植入后续木马。此次为公开报道中首次发现有南亚APT组织使用该漏洞进行攻击。
技术分析
IOC
附录