网络安全解决方案提供商Fortinet（飞塔）旗下安全威胁研究团队FortiGuard最近发现了一系列针对俄罗斯多个服务中心网络攻击活动，这些服务中心为各种电子产品提供维护和技术支持。

FortiGuard团队指出，这些攻击活动都有一个显着的共同特点——那就是它们的发起者实施了“多段”攻击，但排除了国家黑客组织参与的可能性。

攻击者利用钓鱼电子邮件来传播恶意Office文档，而文档则会利用一个之前被报道隐藏了17年之久的Office远程代码执行漏洞（CVE-2017-11882）来下载一个商业化的远程访问木马（RAT）。

第一起攻击发生在3月底，一家负责三星电子产品维修的俄罗斯服务公司收到了几封电子邮件，自称来自三星公司的代表。电子邮件的内容是采用俄语编写的，并包含一个名为“ Symptom_and_repair_code_list.xlsx”的文件。

FortiGuard团队在仔细审查这封电子邮件后得出结论，它并不是一位由母语是俄语的人编写的。相反，它更像是来自翻译工具的产物。因此，FortiGuard团队认为攻击者极有可能并不是俄罗斯人。另外，发件人的IP地址也与“From”字段中的域没有关联。

虽然所有电子邮件都使用了不同的附件，但它们同样存在一个共同点——所有文件都是.XLSX微软Office EXCEL表格文件，以及都包含漏洞利用。

无论附件的标题或者内容如何，它们都会使用shellcode来执行各种任务，包括定位两个关键函数的地址：LoadLibraryA 和GetProcAddress。有了这两个函数，它就可以访问执行其有效载荷所需的任何函数。

由shellcode导入的两个最重要的函数是：URLDownloadToFileW和ExpandEnvironmentStringsW。后者用于确定shellcode应该存储下载的有效载荷的确切位置，因为在不同平台下这个位置会有所不同。

有效载荷使用了多层加密软件保护来绕过安全检测。第一阶段实现了第一层保护，利用知名的ConfuserEx脱壳工具混淆了对象名称，以及方法和资源的名称，使人难以阅读和理解。这些资源用于确定使用DES加密的下一阶段有效载荷，并执行名为BootstrapCS的解密文件，该文件表示多层保护的第二阶段。

BootstrapCS是多层保护第二阶段中可执行文件的内部名称。这个层未进行混淆处理，但包含大量反分析检查功能。其资源模块提供的主要反分析功能包括：对模拟、沙箱和虚拟机执行各种检查，搜索并关闭指定的进程（如Wireshark网络分析工具、Fiddler Web Debugger抓包工具和WPE PRO网络封包工具），禁用系统实用程序（如命令提示符、注册表编辑器和用户访问控制UAC），将有效负载路径写入指定启动注册表项，通过分配系统和隐藏属性来隐藏文件，将有效载荷注入不同的进程