安全企業Fortinet近日揭露，黑客正利用一個五年前就被公開的漏洞CVE-2017-0199，對Office企業用戶進行攻擊。該漏洞允許遠程執行代碼，對企業數據安全構成嚴重威脅。

據悉，黑客首先通過偽裝成業務往來郵件的方式，向目標用戶發送包含惡意Excel附件的網絡釣魚郵件。當用戶打開這些看似正常的附件并嘗試編輯內容時，便會觸發該漏洞。

一旦漏洞被觸發，受害者的設備會在后臺自動下載并運行一個由黑客精心準備的HTA文件。這個文件經過了多層包裝，使用了Java、VB等腳本語言，并結合Base64編碼和PowerShell命令，以逃避安全檢測。

HTA文件運行后，會進一步下載并執行一個名為dllhost.exe的惡意程序。該程序隨后將惡意代碼注入到新的進程Vaccinerende.exe中，從而完成Remcos RAT木馬的傳播。

研究人員在深入分析后發現，黑客在攻擊過程中還使用了多種反追蹤技術，如異常處理和動態API調用等，以增加攻擊的隱蔽性和逃避安全檢測的能力。