Trend Micro（趋势科技）发文称，一起针对俄罗斯企业的恶意电子邮件攻击活动活跃至少两个月，恶意分子利用基于Windows的新后门发起攻击。这起攻击依赖各种漏洞利用和Windows组件运行恶意脚本，以加重检测和防御难度。

2017年6月6日VirusTotal收到攻击的最早样本。6月23日至7月27日，Trend Micro发现5起垃圾邮件活动。专家认为，这起攻击活动将会持续。

Trend Micro表示，攻击目标包括金融机构（例如银行）和矿业公司。Trend Micro的研究人员注意到，攻击者发送不同的针对性电子邮件将策略多样化。电子邮件是社会工程诱饵一大特色，由于其散布范围受限，因此被用来实施鱼叉式网络钓鱼攻击。

这些看似来自销售与开票部门的电子邮件实则包含恶意富文本格式（RTF）文件，该文件正是利用了Microsoft Office Windows对象链接与嵌入（OLE）接口中的漏洞CVE-2017-0199，该漏洞已于4月修复，但Cobalt和CopyKittens等攻击者仍在滥用该漏洞，前端时间的Petya勒索病毒也是利用的该漏洞。

一旦执行漏洞利用代码，便会下载内嵌恶意JavaScript 的虚假XLS文件。一旦打开XLS文件， xcel文件头会被忽略， Windows组件mshta.exe会将该文件视作HTML应用程序文件。

JavaScript代码会调用odbcconf.exe正常可执行文件，此文件会执行各种与Microsoft数据访问组件（Microsoft Data Access Components）有关的任务，以此运行DLL。一经执行，DLL会在%APPDATA%文件夹内丢下一个文件，并附加.TXT扩展名，虽然这是一个用来声明变量、定义表达式并在网页中添加功能代码的SCT文件（Windows脚本小程序），但却带有恶意的混淆JavaScript。

DLL会调用Regsvr32（Microsoft注册服务器）命令行公用程序执行特定参数。

以上这种攻击方法也被称为“Squiblydoo”。即滥用Regsvr32绕过运行脚本上的限制，躲避应用程序白名单保护。越南黑客组织APT32先前就曾利用这种方法发起攻击。

Trend Micro指出，虽然Squiblydoo是已知的攻击途径，但与odbcconf.exe结合使用还是首次。

接下来，从域名wecloud[.]biz下载的另一个XML文件便会执行命令。这个XML文件是这起攻击使用的主要后门，使用相同的Regsvr32滥用Squiblydoo攻击技术加以执行。

该后门是一个带有混淆JavaScript代码的SCT文件，支持执行命令，允许攻击者接管被感染的系统。这个后门设法连接到hxxps://wecloud[.]biz/mail/ajax[.]php的命令与控制（C&C）服务器，并检索任务。

这款恶意软件可以根据接收的命令下载并执行Portable Executable（PE）文件，删除文件/启动条目并终止、下载额外的/新脚本，运行新脚本并终止当前脚本，或运行Shell命令。

Trend Micro指出，虽然感染链的后续步骤要求使用各种Windows组件，但切入点仍包含使用Microsoft Office漏洞。用户可以通过打补丁、更新软件预防这种攻击威胁，或使用防火墙、入侵检测与防御系统、虚拟补丁和URL分类等方式，此外还应实施强有力的补丁管理政策以减少系统的攻击面。