Proofpoint資安研究人員近期發現，美國地方政府與歐洲政府成為釣魚郵件攻擊之目標，郵件附檔使用RTF(Rich Text Format)格式，且利用Windows零時差漏洞Follina進行攻擊。駭客使用加薪名義誘使員工開啟e-mail附件，開啟後即執行Powershell腳本程式，程式會檢查系統是否為虛擬機，並從瀏覽器、電子郵件使用者端及檔案總管中竊取資訊，蒐集資訊後再將資料壓縮傳送至駭客所控制之伺服器。

Follina為微軟於5月30日揭露之Microsoft Support Diagnostic Tool(MSDT) 遠端執行程式碼漏洞，漏洞編號為CVE-2022-30190，該漏洞允許駭客利用URL協定呼叫MSDT，進而遠端執行任意程式。

Proofpoint資安研究人員亦於5月30日發現，與中國利益相關之駭客組織TA413 APT利用此漏洞攻擊國際聲援西藏組織，當受駭者開啟或預覽Zip壓縮檔內之Word檔案時，即會利用Follina漏洞執行惡意程式。MalwareHunterTeam之資安研究人員發現帶有中文之.docx檔案，用於下載可竊取密碼之惡意程式。
 

https://www.wired.com/story/microsoft-follina-vulnerability-windows-office-365/
https://www.bleepingcomputer.com/news/security/windows-zero-day-exploited-in-us-local-govt-phishing-attacks/
技術服務中心整理