根据网络安全公司Proofpoint的说法，他们的安全研究人员发现了一款​​新的Microsoft Office文档漏洞利用工具包，已经被许多网络犯罪集团（如Cobalt Gang）用于传播各种恶意软件的有效载荷包括银行木马（如Trickbot和Chthonic）和后门程序（如FormBook 和Loki Bot）。

被命名为“ThreadKit”的漏洞利用工具包最初是在2017年10月被发现的，但Proofpoint的研究人员表示，它的分发最早可能开始于2017年6月。

虽然由该工具包生成的文档与最具影响力的Microsoft Office恶意软件工具包Micorsoft Word Intruder（MWI）生成的文档存在一定程度的相似性，但研究人员确定这些文档是由一个新的工具包生成的，也就是ThreadKit。

在2017年6月，ThreadKit被发布在一个黑客论坛上。根据其开发者的描述，它能够创建带有嵌入式可执行文件和嵌入式诱饵文件的文档。

研究人员表示，ThreadKit的确具有这种能力，并且已经被用于多起实际攻击活动中。文档使用“INCLUDEPICTURE”字段对命令和控制（C＆C）服务器执行初始登记，而这也是MWI使用的策略之一。

这些文档利用CVE-2017-0199漏洞下载并执行HTA文件，然后下载诱饵文档和可提取并运行嵌入式可执行文件的恶意VB脚本。这个感染链导致了恶意软件Smoke Loader的安装，而作为最终有效荷载的Trickbot银行木马将会由Smoke Loader下载。

在2017年10月份，ThreadKit的开发者推出了新版本，增加了对CVE 2017-8759漏洞的利用，但仍继续使用最初的C＆C登记和HTA文件来执行嵌入式可执行文件。区别在于，新版本对漏洞利用文件的运行方式进行了更改，且传播的最终有效载荷切换成了Chthonic银行木马。

在2017年即将结束之际，ThreadKit承诺会在最短的时间内将最新的Microsoft Office漏洞利用整合到ThreadKit中。在2017年11月21日推出的新版本中，CVE 2017-11882漏洞已经能够被利用。

在今年2月和3月，ThreadKit更是在极短时间内被新增了对多个漏洞的利用，包括Adobe Flash零日漏洞（CVE-2018-4878）和两个Microsoft Office漏洞（CVE-2018-0802和 CVE-2017-8570）。

另外，这个版本的ThreadKit还包含了对嵌入式诱饵和恶意软件提取和执行的重大修改，而传播的最终有效荷载切换成了用于构建僵尸网络的Neutrino Bot。

Proofpoint表示，ThreadKit是一个相对较新且十分受欢迎的文档漏洞利用工具包。至少从2017年6月起，已经被许多网络犯罪集团用于开展各种各样的攻击活动。并且它的使用极其方便，即使是只具备低技能的恶意攻击者也能通过它来利用最新的Microsoft Office漏洞。

ThreadKit可被用于分发各种恶意软件，这会给广大计算机用户带来广泛且不确定的潜在威胁，因此Proofpoint建议个人或者组织应当确保及时为Microsoft Office或者其他应用程序安装最新发布的安全补丁，从而减轻由ThreadKit或者其他漏洞利用工具带来的网络攻击风险。