Trend Micro（趨勢科技）發文稱，一起針對俄羅斯企業的惡意電子郵件攻擊活動活躍至少兩個月，惡意分子利用基于Windows的新后門發起攻擊。這起攻擊依賴各種漏洞利用和Windows組件運行惡意腳本，以加重檢測和防御難度。

2017年6月6日VirusTotal收到攻擊的最早樣本。6月23日至7月27日，Trend Micro發現5起垃圾郵件活動。專家認為，這起攻擊活動將會持續。

Trend Micro表示，攻擊目標包括金融機構（例如銀行）和礦業公司。Trend Micro的研究人員注意到，攻擊者發送不同的針對性電子郵件將策略多樣化。電子郵件是社會工程誘餌一大特色，由于其散布范圍受限，因此被用來實施魚叉式網絡釣魚攻擊。

這些看似來自銷售與開票部門的電子郵件實則包含惡意富文本格式（RTF）文件，該文件正是利用了Microsoft Office Windows對象鏈接與嵌入（OLE）接口中的漏洞CVE-2017-0199，該漏洞已于4月修復，但Cobalt和CopyKittens等攻擊者仍在濫用該漏洞，前端時間的Petya勒索病毒也是利用的該漏洞。

一旦執行漏洞利用代碼，便會下載內嵌惡意JavaScript 的虛假XLS文件。一旦打開XLS文件， xcel文件頭會被忽略， Windows組件mshta.exe會將該文件視作HTML應用程序文件。

JavaScript代碼會調用odbcconf.exe正常可執行文件，此文件會執行各種與Microsoft數據訪問組件（Microsoft Data Access Components）有關的任務，以此運行DLL。一經執行，DLL會在%APPDATA%文件夾內丟下一個文件，并附加.TXT擴展名，雖然這是一個用來聲明變量、定義表達式并在網頁中添加功能代碼的SCT文件（Windows腳本小程序），但卻帶有惡意的混淆JavaScript。

DLL會調用Regsvr32（Microsoft注冊服務器）命令行公用程序執行特定參數。

以上這種攻擊方法也被稱為“Squiblydoo”。即濫用Regsvr32繞過運行腳本上的限制，躲避應用程序白名單保護。越南黑客組織APT32先前就曾利用這種方法發起攻擊。

Trend Micro指出，雖然Squiblydoo是已知的攻擊途徑，但與odbcconf.exe結合使用還是首次。

接下來，從域名wecloud[.]biz下載的另一個XML文件便會執行命令。這個XML文件是這起攻擊使用的主要后門，使用相同的Regsvr32濫用Squiblydoo攻擊技術加以執行。

該后門是一個帶有混淆JavaScript代碼的SCT文件，支持執行命令，允許攻擊者接管被感染的系統。這個后門設法連接到hxxps://wecloud[.]biz/mail/ajax[.]php的命令與控制（C&C）服務器，并檢索任務。

這款惡意軟件可以根據接收的命令下載并執行Portable Executable（PE）文件，刪除文件/啟動條目并終止、下載額外的/新腳本，運行新腳本并終止當前腳本，或運行Shell命令。

Trend Micro指出，雖然感染鏈的后續步驟要求使用各種Windows組件，但切入點仍包含使用Microsoft Office漏洞。用戶可以通過打補丁、更新軟件預防這種攻擊威脅，或使用防火墻、入侵檢測與防御系統、虛擬補丁和URL分類等方式，此外還應實施強有力的補丁管理政策以減少系統的攻擊面。