据Dark Reading网站消息,有攻击者正利用已存在6年的微软 Office 远程代码执行 (RCE) 漏洞,以恶意Excel附件的形式在电子邮件中传播间谍软件。
该漏洞虽然披露于2017年,但最早的恶意利用可追溯至2014年,攻击的最终目标是通过加载Agent Tesla这一种远程访问木马 (RAT) 和高级键盘记录器,将最终窃取的数据发送到由攻击者控制的 Telegram 机器人。
尽管已有尽10年历史,Agent Tesla 仍然是攻击者使用的常见武器,利用它能实现包括剪贴板记录、屏幕键盘记录、屏幕捕获以及从不同 Web 浏览器提取存储的密码等功能。
攻击工程
感染活动利用社会工程学,从攻击者准备的含有恶意Excel附件的电子邮件开始,并在邮件主题中使用 "订单 "和 "发票 "等字眼,并要求收件人立即回复,从而增加了紧迫感。
研究人员发现,一旦用户上钩,攻击方法就会变得非常规。使用易受攻击版本的电子表格应用程序打开恶意 Excel 附件,就会启动与恶意目标的通信,该恶意目标会推送附加文件,其中第一个文件是一个严重混淆的 VBS 文件,使用的变量名长达 100 个字符,以增加分析和解混淆的复杂性。
接着,该文件依次开始下载恶意 JPG 文件,之后 VBS 文件执行 PowerShell 可执行文件,该可执行文件会从图片文件中检索 Base64 编码的 DLL,并从解码后的 DLL 中加载恶意程序。
恶意通信和附加文件下载
PowerShell 加载后,还有另一种新颖的策略——执行 RegAsm.exe 文件,该文件的主要功能通常与注册表读写操作相关,目的是在真实操作的幌子下进行恶意活动。在此,DLL 获取 Agent Tesla 负载并将线程注入 RegAsm 进程。
一旦部署成功,间谍软件就会从大量浏览器、邮件客户端和 FTP 应用程序中窃取数据,并还尝试部署键盘和剪贴板挂钩来监视所有击键并捕获用户复制的数据。
目前这种攻击方式的独特之处在于,它将长期存在的漏洞与新的复杂规避策略结合在一起,展示了攻击者在感染方法方面较强的适应性。为此,Zscaler 高级工程师安全研究员 Kaivalya Khursale 指出:“组织必须及时了解不断变化的网络威胁,以保护其数字环境。”