文章总结： 本文分析利用伪造货运单据传播RemcosRAT的钓鱼攻击。攻击者利用CVE-2017-11882漏洞通过Word文档实施无文件攻击，伪装成合法进程并实现持久化。该RAT具备远程监控能力且使用TLS加密通信，检测难度大，建议加强邮件安全防护。 综合评分： 87 文章分类： 威胁情报,恶意软件,漏洞分析,安全意识

警惕可能运载功能强大的Remcos RAT的武器化运输单据

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月21日 19:57 北京

威胁行为者正在利用一种危险的新活动，将看似普通的运输单据武器化，以传播 Remcos，这是一种功能强大的远程访问木马。

这种网络钓鱼骗局利用虚假的货运电子邮件作为切入点，诱骗用户打开伪装成合法货物文件的恶意 Word 文档。

一旦受害者打开文档，攻击链就会悄无声息地开始，在没有任何明显警告的情况下入侵系统。

该恶意软件提供了一个商业级的远程访问工具，能够完全控制受感染的计算机。

本次攻击活动中发现的Remcos变种代表了攻击复杂性方面一个特别令人担忧的进步。

与会留下明显痕迹的传统恶意软件不同，该版本以无文件方式运行，这意味着它完全在系统内存中执行，而不会向磁盘写入可疑文件。

这种隐蔽的方法使得依赖传统基于文件的威胁检测的安全团队的检测难度大大增加。

该攻击活动专门针对 Windows 用户，对于任何尚未实施强有力的电子邮件安全措施的组织而言，都构成高度严重的风险。

Fortinet 分析师在发现网络上流传的钓鱼邮件后，识别出了这种恶意软件。

安全研究人员记录了攻击者如何精心制作带有逼真品牌标识和参考编号的货运单据电子邮件，以最大限度地提高受害者打开附件的可能性。

一旦在 Microsoft Word 中打开，该文档就会自动从远程服务器获取恶意模板，从而触发一系列攻击，最终在目标系统上安装 Remcos。

该攻击利用了微软公式编辑器中一个已知但仍然十分严重的漏洞，名为 CVE-2017-11882。

当处理下载的模板文件时，其中包含专门设计的数据，旨在以可控的方式使公式编辑器崩溃。

此次崩溃使得攻击者能够以与 Word 应用程序相同的权限执行任意代码，为恶意软件安装过程提供了完美的起点。

感染链和持续存在机制

这种恶意软件实现持久化的方式体现了攻击者的精心设计。在初始攻击之后，攻击者会下载一个 Visual Basic 脚本，该脚本会进一步下载一个.NET模块。

然后，该模块被加载到 PowerShell 进程中，并在其中秘密运行。

Remcos 代理本身伪装成名为 colorcpl.exe 的合法 Windows 实用程序文件，这有助于它融入正常的系统操作中。

为了确保恶意软件在系统重启后仍然存在，攻击者利用 Windows 任务计划程序创建计划任务，以便在受感染的计算机启动时重新启动恶意软件。

最令人担忧的是该远程访问木马安装后所提供的各种功能。

Remcos 可以截取屏幕截图、记录键盘输入、监控麦克风和摄像头输入，并访问存储在受感染计算机上的敏感文件。

它可以与 216.9.224.26:51010 的命令与控制服务器建立连接，从而允许攻击者发出远程命令。

该恶意软件使用传输层安全加密来保护其与攻击者的通信，这使得基于网络的检测更加困难。

发现感染 Remcos 病毒的组织将面临系统完全被攻陷的风险，因为攻击者将获得对其 Windows 基础架构的管理员级远程控制权。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《警惕可能运载功能强大的Remcos RAT的武器化运输单据》