安全公司 Fortinet发布报告，称最近有黑客利用5年前公布的CVE-2017-0199漏洞，瞄准 Office 企业用户发动攻击。

　　参考报告获悉，相关黑客首先发送一批伪造成公司业务往来信息的网络钓鱼邮件，其中带有含有木马的 Excel 附件。一旦收件人打开附件，就会看到相关文件受到保护，要求用户启用值得注意的是，这一 HTA 文件据称使用 JavaScript、VBScript 等脚本并结合 Base64 编码算法和 PowerShell 命令进行多层包装以避免被安全公司发现。一旦 HTA 文件被启动，它会将黑客预备的dllhost.exe 下载到受害者设备上运行，而后相关exe 文件会将恶意代码注入到一个新的进程 Vaccinerende.exe 中，从而传播RemcosRAT木马。

　　▲ 黑客的 HTA 文件采用多重包装以防止遭到安全公司分析

　　研究人员指出，黑客为隐藏其踪迹利用了多种反追踪技术，包括“异常处理”、“动态 API 调用”等手段，以达到规避检测的目的。就此，安全公司提醒企业及用户个人应及时更新Office软件，降低被黑客攻击的风险。