XLL 文件在网络攻击中的新趋势

主要要点

• 多个高级持续威胁组织和恶意软件家族开始利用 Excel 的 XLL 文件作为攻击的初始向量
• 中国背景的威胁行动组织 APT10 利用 XLL 文件进行 Anel Backdoor 恶意软件注入
• 随著越来越多用户忽视 Excel 的警告，预计来年 XLL 基于的恶意攻击将增加
• 威胁行为者可能会从使用 VBA 的恶意文档转向 XLL 格式

最近的报告指出，越来越多的高级持续威胁（APT）组织和恶意软件家族正采用 Excel 的 XLL 文件技术，作为攻击的初始向量。特别是在 Dridex 和
Formbook 的常规恶意软件家族去年开始使用这种技术之后，这一趋势有所上升。《The Register》的报导明确指出，与中国有关的 APT10（也称为
Potassium、Chessmaster 或 menuPass）已经利用 XLL 文件来促进 Anel Backdoor 恶意软件的注入，这是来自
Cisco Talos 的一份报告所揭示的。

除了 APT10，还有其他一些组织如 Stone Panda（TA410 或 Cicada）、DoNot APT 组织以及俄罗斯的网络犯罪组织 FIN7也在使用 XLL 文件进行攻击。由于大多数用户在加载文件前无视 Excel 的警告，因此预计未来一年 XLL 基于的恶意攻击将会增加。

Cisco Talos 的研究人员 Vanja Svajcer 提到：“随著越来越多的用户采用新的 Microsoft Office
版本，威胁行为者可能会从基于 VBA 的恶意文档转向其他格式，如 XLL，或者依赖于利用新发现的漏洞来启动 Office 应用程序中的恶意代码。”

XLL的使用正在成为网络攻击的新趋势，这要求用户更加谨慎，保持警觉以应对不断演变的安全威胁。对于企业和个人用户而言，加强对文件来源的验证，并定期更新安全防护措施，是预防未来可能攻击的关键。