攻擊者利用已有6年歷史的微軟Office 漏洞散播間諜軟體

外媒近日報導惡意網路攻擊者正利用已存在6年的微軟Office 遠端程式碼執行 (RCE) 漏洞，以惡意Excel附件檔案的形式利用電子郵件散播木馬軟體。
 
CVE-2017-11882 漏洞雖然早在2017年披露，但最早的惡意利用可追溯至2014年，攻擊的目標是透過載入Agent Tesla這類遠端存取木馬 (RAT) 和鍵盤記錄器，將最終竊取的資料發送到由攻擊者控制的 Telegram 機器人帳號。

CVE-20170-11882 是 Microsoft Equation Editor 中發現的記憶體損壞漏洞。成功利用該漏洞的攻擊者可以在受害系統上執行任意程式碼，如果使用者以管理員權限登錄，攻擊者甚至可以接管系統。儘管該漏洞早已修補，但仍在使用的舊版Microsoft Office可能容易受到攻擊。

研究人員表示Agent Tesla 仍然是攻擊者使用的常見武器，能實現包含剪貼簿記錄、螢幕鍵盤記錄、螢幕截圖以及從不同網路瀏覽器竊取密碼等功能。

攻擊過程

攻擊鏈利用社交工程手法，從含有惡意Excel附件的電子郵件開始，郵件主題使用 「訂單」和 「發票 」等字眼，並要求收件人立即回覆。研究人員發現，一旦用戶受騙，打開惡意 Excel 附件，就會啟動與惡意目標的溝通，該惡意目標會推送附加檔案，其中第一個檔案是一個嚴重混淆的 VBS 檔，使用的變數名長達 100 個字元，以增加分析和解混淆的複雜性。

接著，該檔案依次開始下載惡意 J​​PG 檔，之後 VBS 檔執行 PowerShell 可執行檔，該可執行檔會從圖片檔中檢索 Base64 編碼的 DLL，並從解碼後的 DLL 中載入惡意程式。

PowerShell 載入後，還有另一種新穎的手法：執行 RegAsm.exe 檔，該執行檔的主要功能通常與登入註冊的讀寫操作相關，目的是在真實操作的幌子下進行惡意活動。在此，DLL 獲取 Agent Tesla 負載並將執行序注入 RegAsm 程序。

一旦部署成功，間諜軟體就會從瀏覽器、郵件用戶端和 FTP 應用程式中竊取資料，並還嘗試部署鍵盤和剪貼簿來監視所有鍵盤、滑鼠動作並竊取使用者複製的資料。
 
這種攻擊方式的獨特之處在於，它將長期存在的漏洞與新的複雜規避策略結合在一起。
 
Zscaler 在官方部落格文章已列出完整的IoC列表，其中包括用於滲透的 Telegram URL 列表、惡意網址、各種惡意Excel、VBS、JPG、DLL檔、和惡意可執行檔 - 協助用戶識別系統是否已受到損害。該貼文還包含大量瀏覽器、郵件和 FTP 用戶端列表。

本文轉載自Dark Reading。