محققای Cisco Talos یه گزارشی منتشر کردن در خصوص افزایش استفاده بازیگران تهدید از Excel add-in برای دسترسی اولیه به اهدافشون.
مایکروسافت از ژوئیه 2022 یسری تغییرات تو سیاست های امنیتیش برای فایلهای آفیس دارای ماکرو اعمال کرد. از جمله مسدود کردن پیش فرض فایلهای آفیس دانلود شده از اینترنت که توشون ماکرو دارن.
البته این محدودیتها برای نسخه های جدید Access و Excel و PowerPoint و Visio و Word اعمال شد.
بازیگران تهدید دنبال روش های جایگزین بودن که یکی از این روشها استفاده از فایلهای XLL هستش .
مایکروسافت این فایلها رو بعنوان یه نوع DLL که فقط توسط اکسل قابل اجراست توصیف میکنه.
بازیگران تهدید از native add-insهای توسعه داده شده در سی پلاس و یا از یه ابزار بنام Excel-DNA برای ساخت XLLهای مخرب استفاده میکنن.
این تکنیک برای اولین بار در سال 2017 توسط Stone Panda یا APT10 که مرتبط با دولت چین هست استفاده شده. این گروه از این تکنیک برای تزریق پیلود به حافظه با استفاده از تکنیک process hollowing استفاده کرده بودن.
علاوه بر این گروه ، گروههای دیگه ای مانند DoNot Team و FIN7 و Ekipa RAT و Warzone RAT و … از این تکنیک دارن استفاده میکنن.
محققای Trustwave هم یه گزارشی منتشر کرده بودند در خصوص گروه Ekipa RAT که علاوه بر استفاده از XLL Excel add-ins ،در بروزرسانی نوامبرشون از فایلهای ماکرو در Microsoft Publisher که محدودیتهای اعمال شده توسط مایکروسافت برای ماکروها رو نداره، برای دسترسی اولیه استفاده میکنن.