外媒1月17日消息，FireEye于近期發現了一種新的攻擊手法——利用三個2017年披露的Microsoft Office漏洞進行惡意軟件 Zyklon 的傳播活動 。據悉，該活動主要針對電信、保險和金融服務等公司，試圖收集其密碼和加密貨幣錢包數據，并為未來可能發生的DDoS （分布式拒絕服務） 攻擊收集目標列表。

功能強大的 Zyklon 惡意軟件

Zyklon是一款HTTP僵尸網絡惡意軟件 ，自2016 年就開始出現，通過Tor 匿名網絡與其 C＆C （命令和控制）服務器進行通信，從而允許攻擊者遠程竊取密鑰和敏感數據，比如存儲在 web 瀏覽器和電子郵件客戶端的密碼。此外，根據 FireEye 最近發布的報告，Zyklon 還是一個公開的全功能后門，能夠進行鍵盤記錄、密碼采集、下載和執行額外的插件，包括秘密使用受感染的系統進行 DDoS 攻擊和加密貨幣挖掘。

而在此次攻擊活動中，背后的攻擊者利用 Microsoft Office 的三個漏洞通過魚叉式網絡釣魚電子郵件傳播 Zyklon 惡意軟件，這些郵件通常會附帶一個包含惡意 Office 文檔的 ZIP 文件。一旦用戶打開這些惡意文件就會立即運行一個 PowerShell 腳本，并從 C＆C 服務器下載最終 playload。這樣一來， 用戶的計算機設備就會成功受到感染。

　　以下為惡意軟件利用的三個 Microsoft Office 漏洞：

第一個漏洞：CVE-2017-8759 是 Microsoft 去年十月修補 的 .NET 框架漏洞。打開受感染文檔的目標將允許攻擊者安裝惡意程序，處理數據并創建新的特權帳戶。 受感染的 DOC 文件包含嵌入的 OLE 對象，該對象在執行時觸發從存儲的 URL 下載的另外的 DOC 文件。

第二個漏洞：CVE-2017-11882 是在 Microsoft 公式編輯器的 Office 可執行文件中發現的遠程代碼執行錯誤，微軟已于 2017 年 11 月為其發布了補丁。 該漏洞與以前的漏洞類似，打開特制 DOC 的用戶將自動下載包含最終 playload 的 PowerShell 命令的 DOC 文件。

第三個漏洞：在于動態數據交換（ DDE ），但微軟不承認該漏洞的存在，而是堅稱 DDE 只是一個產品功能，是建立應用程序如何通過共享內存發送消息和共享數據得協議。然而，在過去的一年中，攻擊者利用 DDE 在惡意活動取得了巨大的成功，比如在無需啟用宏或內存損壞情況下在目標設備上執行代碼。

FireEye 表示，目前越來越多的攻擊者利用惡意軟件來執行不同的任務，并且很可能會超出當前攻擊目標的范圍，因此對于所有行業來說保持高度警惕性變得尤為重要。