安全研究人員發現的俄國駭客組織Fancy Bear最近發動網釣攻擊，其中利用微軟Windows中的動態資料交換（Dynamic Data Exchange，DDE）協定，使Word文件不用巨集也可感染用戶PC。

Fancy Bear又名APT28，是極為活躍的俄國駭客組織，曾經先後入侵美國民主黨代表大會及世界反禁藥組織竊取資料。近日安全公司趨勢科技雙雙發現，Fancy Bear最近散佈了一份宣稱要發動紐約市恐怖攻擊的Word文件IsisAttackInNewYork.docx，利用Microsoft 動態資料交換（Dynamic Data Exchange, DDE）協定來感染用戶PC。

用戶如果在誘使下打開這份Word檔案會發現內文是空的。但檔案一經開啟，Office產品中的DDE功能即呼叫PowerShell執行指令，連上外部C&C伺服器，載入名為Seduploader的惡意程式。該程式會蒐集受害電腦的主機資訊回傳給攻擊者。如果該機器是攻擊者有興趣的目標，即會執行第二道PowerShell指令，安裝X-Agent或Sedreco等後門程式。

趨勢科技研究人員Ryan Sherstobitoff及Michael Rea表示，使用Office DDE攻擊時，不論巨集是否啟動，攻擊者都能在受害系統中執行任意程式碼，這也是Fancy Bear/APT 28首次被發現使用到這種過去較不為人知的攻擊手法。

但這並不是DDE第一次遭到駭客濫用。上個月思科（Cisco）旗下的資安團隊Talos 也發現一則假冒美國證券交易委員會（SEC）的網釣郵件中，駭客也是利用DDE協定來散布惡意程式。同月Word DDE協定攻擊也被發現用來散佈Locky勒索軟體。