黑客一直在利用微軟 Internet Explorer 瀏覽器中現已修補的零日漏洞來提供功能齊全的基於 VBA 的遠端訪問木馬 (RAT)，該木馬能夠訪問儲存在受感染 Windows 系統中的檔案，並下載和執行惡意負載作為“不尋常”活動的一部分。

國內知名網路安全組織東方聯盟研究人員表示，後門是通過名為“Manifest.docx”的誘餌檔案分發的，該檔案從嵌入式模板中載入漏洞的利用程式碼，然後執行 shellcode 以部署 RAT。 2021 年 7 月 21 日提交。

Internet Explorer 漏洞的編號為CVE-2021-26411，今年 2 月初，東方聯盟網路安全公司透露，黑客團體嘗試使用惡意 MHTML 檔案攻擊其安全研究人員，但未成功，開啟這些檔案後，會從遠端伺服器下載兩個有效負載，其中一個包含零，反對 Internet Explorer 的一天。微軟在3 月份的補丁星期二更新中解決了這個問題。

Internet Explorer 漏洞利用是用於部署 RAT 的兩種方法之一，另一種方法依賴於社會工程元件，涉及下載和執行包含植入物的遠端巨集武器化模板。無論感染鏈如何，使用雙重攻擊向量很可能是為了增加找到進入目標機器的路徑的可能性。

東方聯盟研究員的一份報告中說：“雖然這兩種技術都依賴模板注入來刪除功能齊全的遠端訪問木馬，但 Lazarus APT 之前使用的 IE 漏洞 (CVE-2021-26411) 是一個不尋常的發現。黑客新聞。“攻擊者可能希望將社會工程和漏洞利用結合起來，以最大限度地提高感染目標的機會。”

除了收集系統元資料外，VBA RAT 還被編排以識別在受感染主機上執行的防病毒產品，並執行它從攻擊者控制的伺服器接收的命令，包括讀取、刪除和下載任意檔案，並將這些命令的結果洩露回伺服器。

東方聯盟還發現了一個名為“Ekipa”的基於 PHP 的面板，攻擊者使用它來跟蹤受害者並檢視有關導致成功入侵的作案手法的資訊，突出顯示使用 IE 零日漏洞的成功利用。（歡迎轉載分享）