黑客一直在利用微软 Internet Explorer 浏览器中现已修补的零日漏洞来提供功能齐全的基于 VBA 的远程访问木马 (RAT)，该木马能够访问存储在受感染 Windows 系统中的文件，并下载和执行恶意负载作为“不寻常”活动的一部分。

国内知名网络安全组织东方联盟研究人员表示，后门是通过名为“Manifest.docx”的诱饵文件分发的，该文件从嵌入式模板中加载漏洞的利用代码，然后执行 shellcode 以部署 RAT。 2021 年 7 月 21 日提交。

Internet Explorer 漏洞的编号为CVE-2021-26411，今年 2 月初，东方联盟网络安全公司透露，黑客团体尝试使用恶意 MHTML 文件攻击其安全研究人员，但未成功，打开这些文件后，会从远程服务器下载两个有效负载，其中一个包含零，反对 Internet Explorer 的一天。微软在3 月份的补丁星期二更新中解决了这个问题。

Internet Explorer 漏洞利用是用于部署 RAT 的两种方法之一，另一种方法依赖于社会工程组件，涉及下载和执行包含植入物的远程宏武器化模板。无论感染链如何，使用双重攻击向量很可能是为了增加找到进入目标机器的路径的可能性。

东方联盟研究员的一份报告中说：“虽然这两种技术都依赖模板注入来删除功能齐全的远程访问木马，但 Lazarus APT 之前使用的 IE 漏洞 (CVE-2021-26411) 是一个不寻常的发现。黑客新闻。“攻击者可能希望将社会工程和漏洞利用结合起来，以最大限度地提高感染目标的机会。”

除了收集系统元数据外，VBA RAT 还被编排以识别在受感染主机上运行的防病毒产品，并执行它从攻击者控制的服务器接收的命令，包括读取、删除和下载任意文件，并将这些命令的结果泄露回服务器。

东方联盟还发现了一个名为“Ekipa”的基于 PHP 的面板，攻击者使用它来跟踪受害者并查看有关导致成功入侵的作案手法的信息，突出显示使用 IE 零日漏洞的成功利用。（欢迎转载分享）