按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Qbot 惡意軟體現正利用 Windows MSDT 0-day 漏洞發動釣魚攻擊

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-06-13
  • 點閱次數:6473
Qbot 惡意軟體現正利用 Windows MSDT 0-day 漏洞發動釣魚攻擊 TWCERT/CC

資安廠商 Proofpoint 旗下的資安專家,日前觀察到一個名為 Qbot 的惡意軟體,會利用微軟一個尚未解決的 0-day 漏洞(CVE-2022-30190,又名 Follina)發動攻擊,目前觀察到該惡意軟體大規模發動釣魚攻擊;各單位之 Windows 用戶應提高警覺。

Proofpoint 是在上周與本周一(6月6日)發表的相關報告中,提到 Qbot 當時正用於攻擊美國與歐洲的政府單位;近日發表的新報告則指出,駭侵團體 TA570 就是發動這波 Qbot 攻擊的主要駭侵者。

這波 Qbot 釣魚攻擊,係以夾帶惡意程式碼的 Microsoft Office .docx 檔案來進行,利用 CVE-2022-30190 Follina 0-day 漏洞,在受害者電腦中植入 Qbot 惡意軟體;資安專家分析指出,這次 TA570 的攻擊方式是寄送一個夾帶 HTML 檔案的郵件;一旦開啟這個 HTML 檔,就會下載一個 zip 壓縮檔,壓縮檔內含有 IMG 檔案,內含一個 DLL、捷徑檔和 Microsoft Word .docx 檔,誘使用戶開啟。

CVE-2022-30190 Follina 0-day 漏洞存於 Microsoft Office 中,該漏洞可讓駭侵者以特製的 Microsoft Word 文件檔夾帶惡意指令檔,透過 Microsoft Diagnostic Tool (MSDT) 呼叫應用程式的許可權運行任意程式碼。攻擊者可以在用戶許可權允許的環境中安裝程式、查看、更改或删除資料,或建立新帳號。

建議用戶可禁用 MSDT URL協定,防止疑難排解作為連結啟動,包括整個作業系統中的連結,以降低資安風險。請按照以下步驟禁用:

  1. 以管理員身份運行命令提示字元。
  2. 要備份註冊表,請執行命令reg export HKEY\U CLASSES\U ROOT\ms msdt filename。
  3. 執行命令reg delete HKEY\U CLASSES\U ROOT\ms msdt/f。

若要取消禁用,請按照以下步驟執行:

  1. 以管理員身份運行命令提示符。
  2. 要還原註冊表,請執行命令“reg import filename”。
回頁首