資安廠商 Proofpoint 旗下的資安專家，日前觀察到一個名為 Qbot 的惡意軟體，會利用微軟一個尚未解決的 0-day 漏洞（CVE-2022-30190，又名 Follina）發動攻擊，目前觀察到該惡意軟體大規模發動釣魚攻擊；各單位之 Windows 用戶應提高警覺。

Proofpoint 是在上周與本周一（6月6日）發表的相關報告中，提到 Qbot 當時正用於攻擊美國與歐洲的政府單位；近日發表的新報告則指出，駭侵團體 TA570 就是發動這波 Qbot 攻擊的主要駭侵者。

這波 Qbot 釣魚攻擊，係以夾帶惡意程式碼的 Microsoft Office .docx 檔案來進行，利用 CVE-2022-30190 Follina 0-day 漏洞，在受害者電腦中植入 Qbot 惡意軟體；資安專家分析指出，這次 TA570 的攻擊方式是寄送一個夾帶 HTML 檔案的郵件；一旦開啟這個 HTML 檔，就會下載一個 zip 壓縮檔，壓縮檔內含有 IMG 檔案，內含一個 DLL、捷徑檔和 Microsoft Word .docx 檔，誘使用戶開啟。

CVE-2022-30190 Follina 0-day 漏洞存於 Microsoft Office 中，該漏洞可讓駭侵者以特製的 Microsoft Word 文件檔夾帶惡意指令檔，透過 Microsoft Diagnostic Tool (MSDT) 來執行惡意 Power Shell 指令。

由於目前 Microsoft 尚未針對這個 0-day 漏洞推出資安更新或暫時解決方案，因此建議公私單位特別注意，要求所屬人員勿隨意開啟或點擊可疑郵件中的任何夾檔；系統管理員也應隨時注意 Microsoft 的資安更新消息，一旦推出更新就應立即套用。

• 參考連結

Threat Insight @threatinsight Proofpoint blocked a suspected state aligned phishing campaign

https://twitter.com/threatinsight/status/1532830739208732673

Windows zero-day exploited in US local govt phishing attacks

https://www.bleepingcomputer.com/news/security/windows-zero-day-exploited-in-us-local-govt-phishing-attacks/

Threat Insight @threatinsight Proofpoint saw #TA570 exploiting CVE-2022-30190

https://twitter.com/threatinsight/status/1534227444915482625

Qbot malware now uses Windows MSDT zero-day in phishing attacks

https://www.bleepingcomputer.com/news/security/qbot-malware-now-uses-windows-msdt-zero-day-in-phishing-attacks/