您所在的位置: 首頁 >
新聞資訊 >
威脅情報(bào) >
攻擊者利用已有6年歷史的 Office 漏洞傳播間諜軟件
據(jù)Dark Reading網(wǎng)站消息,有攻擊者正利用已存在6年的微軟Office 遠(yuǎn)程代碼執(zhí)行 (RCE) 漏洞,以惡意Excel附件的形式在電子郵件中傳播間諜軟件。
該漏洞雖然披露于2017年,但最早的惡意利用可追溯至2014年,攻擊的最終目標(biāo)是通過加載Agent Tesla這一種遠(yuǎn)程訪問木馬 (RAT) 和高級(jí)鍵盤記錄器,將最終竊取的數(shù)據(jù)發(fā)送到由攻擊者控制的 Telegram 機(jī)器人。
盡管已有近10年歷史,Agent Tesla 仍然是攻擊者使用的常見武器,利用它能實(shí)現(xiàn)包括剪貼板記錄、屏幕鍵盤記錄、屏幕捕獲以及從不同 Web 瀏覽器提取存儲(chǔ)的密碼等功能。
攻擊過程
感染活動(dòng)利用社會(huì)工程學(xué),從攻擊者準(zhǔn)備的含有惡意Excel附件的電子郵件開始,并在郵件主題中使用 "訂單 "和 "發(fā)票 "等字眼,并要求收件人立即回復(fù),從而增加了緊迫感。
研究人員發(fā)現(xiàn),一旦用戶上鉤,攻擊方法就會(huì)變得非常規(guī)。使用易受攻擊版本的電子表格應(yīng)用程序打開惡意 Excel 附件,就會(huì)啟動(dòng)與惡意目標(biāo)的通信,該惡意目標(biāo)會(huì)推送附加文件,其中第一個(gè)文件是一個(gè)嚴(yán)重混淆的 VBS 文件,使用的變量名長達(dá) 100 個(gè)字符,以增加分析和解混淆的復(fù)雜性。
接著,該文件依次開始下載惡意 JPG 文件,之后 VBS 文件執(zhí)行 PowerShell 可執(zhí)行文件,該可執(zhí)行文件會(huì)從圖片文件中檢索 Base64 編碼的 DLL,并從解碼后的 DLL 中加載惡意程序。
惡意通信和附加文件下載
PowerShell 加載后,還有另一種新穎的策略——執(zhí)行 RegAsm.exe 文件,該文件的主要功能通常與注冊(cè)表讀寫操作相關(guān),目的是在真實(shí)操作的幌子下進(jìn)行惡意活動(dòng)。在此,DLL 獲取 Agent Tesla 負(fù)載并將線程注入 RegAsm 進(jìn)程。
一旦部署成功,間諜軟件就會(huì)從大量瀏覽器、郵件客戶端和 FTP 應(yīng)用程序中竊取數(shù)據(jù),并還嘗試部署鍵盤和剪貼板掛鉤來監(jiān)視所有擊鍵并捕獲用戶復(fù)制的數(shù)據(jù)。
目前這種攻擊方式的獨(dú)特之處在于,它將長期存在的漏洞與新的復(fù)雜規(guī)避策略結(jié)合在一起,展示了攻擊者在感染方法方面較強(qiáng)的適應(yīng)性。為此,Zscaler 高級(jí)工程師安全研究員 Kaivalya Khursale 指出:“組織必須及時(shí)了解不斷變化的網(wǎng)絡(luò)威脅,以保護(hù)其數(shù)字環(huán)境?!?/span>
參考資料:https://www.darkreading.com/cloud-security/attackers-exploit-microsoft-office-bug-spyware
來源:FreeBuf