攻击者在恶意软件中使用“天堂之门”技术逃避安全检测

2019年7月1日，美国思科公司发布报告称发现攻击者在攻击中使用了基于“天堂之门”逃避检测技术的恶意软件加载器。“天堂之门”技术能够让32位应用运行于64位系统上时隐藏API调用，进而实现一系列功能。恶意软件开发者将其作为对抗安全软件的有效手段添加到不同类型的恶意软件之中，可大幅延后恶意软件被安全软件检测到的时间节点。在这些攻击活动中，攻击者采用鱼叉式钓鱼攻击向受害者发送包含诱饵文档的钓鱼邮件，钓鱼邮件的主题包括“发票”或“银行凭证”等与金融活动相关的文字，在诱饵文档中使用了CVE-2017-11882漏洞，当目标打开诱饵文档后就会从攻击者远程的服务器下载恶意软件的加载器。这款恶意软件加载器已经被发现用于多个不同类型的恶意软件攻击活动中，包括HawkEye Reborn键盘记录器、Remcos远程访问工具（RAT）和多个基于XMR的挖矿软件。