黑客利用 RAT发动攻击的情况，不时有事故传出，而最近一波攻击行动里，攻击者采用了新的手法来回避侦测，因而引起研究人员的注意。

资安业者Fortinet发现假借公司业务往来的网络钓鱼攻击，黑客声称寄送采购单（PO）的名义，寄送带有Excel文件附件的钓鱼信，一旦收信人打开附件文件，就会看到这份文档受到保护的消息，若要视图内容，就必须依照指示激活编辑功能及激活内容，然而若是照做，就会触发远程代码运行漏洞CVE-2017-0199，攻击者借此于后台下载HTML应用程序文件（HTA），并于受害电脑运行。

值得留意的是，为了避免东窗事发，此HTA采用JavaScript、VBScript等多种脚本，并搭配Base64算法、PowerShell指令来进行多层包装。一旦该HTA文件启动，就会将dllhost.exe下载到受害电脑并运行。

此运行档会利用处理进程挖空（Process Hollowing）手法，将恶意代码注入新的处理进程Vaccinerende.exe，从而在内存内运行Remcos RAT有效酬载，然后向C2服务器进行注册、接收命令，而这么做的目的，就是避免于磁盘上留下痕迹。

研究人员指出，攻击者为了隐匿行踪，他们采用多项反分析手法，包含矢量异常处理、动态API调用、反调试手法来达到目的。