歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
攻擊者利用已有6年歷史的微軟Office 漏洞散播間諜軟體
2023 / 12 / 25
編輯部
外媒近日報導惡意網路攻擊者正利用已存在6年的微軟Office 遠端程式碼執行 (RCE) 漏洞,以惡意Excel附件檔案的形式利用電子郵件散播木馬軟體。
CVE-2017-11882 漏洞雖然早在2017年披露,但最早的惡意利用可追溯至2014年,攻擊的目標是透過載入Agent Tesla這類遠端存取木馬 (RAT) 和鍵盤記錄器,將最終竊取的資料發送到由攻擊者控制的 Telegram 機器人帳號。
CVE-20170-11882 是 Microsoft Equation Editor 中發現的記憶體損壞漏洞。成功利用該漏洞的攻擊者可以在受害系統上執行任意程式碼,如果使用者以管理員權限登錄,攻擊者甚至可以接管系統。儘管該漏洞早已修補,但仍在使用的舊版Microsoft Office可能容易受到攻擊。
研究人員表示Agent Tesla 仍然是攻擊者使用的常見武器,能實現包含剪貼簿記錄、螢幕鍵盤記錄、螢幕截圖以及從不同網路瀏覽器竊取密碼等功能。
攻擊過程
攻擊鏈利用社交工程手法,從含有惡意Excel附件的電子郵件開始,郵件主題使用 「訂單」和 「發票 」等字眼,並要求收件人立即回覆。研究人員發現,一旦用戶受騙,打開惡意 Excel 附件,就會啟動與惡意目標的溝通,該惡意目標會推送附加檔案,其中第一個檔案是一個嚴重混淆的 VBS 檔,使用的變數名長達 100 個字元,以增加分析和解混淆的複雜性。
接著,該檔案依次開始下載惡意 JPG 檔,之後 VBS 檔執行 PowerShell 可執行檔,該可執行檔會從圖片檔中檢索 Base64 編碼的 DLL,並從解碼後的 DLL 中載入惡意程式。
PowerShell 載入後,還有另一種新穎的手法:執行 RegAsm.exe 檔,該執行檔的主要功能通常與登入註冊的讀寫操作相關,目的是在真實操作的幌子下進行惡意活動。在此,DLL 獲取 Agent Tesla 負載並將執行序注入 RegAsm 程序。
一旦部署成功,間諜軟體就會從瀏覽器、郵件用戶端和 FTP 應用程式中竊取資料,並還嘗試部署鍵盤和剪貼簿來監視所有鍵盤、滑鼠動作並竊取使用者複製的資料。
這種攻擊方式的獨特之處在於,它將長期存在的漏洞與新的複雜規避策略結合在一起。
Zscaler 在官方部落格文章已列出完整的IoC列表,其中包括用於滲透的 Telegram URL 列表、惡意網址、各種惡意Excel、VBS、JPG、DLL檔、和惡意可執行檔 - 協助用戶識別系統是否已受到損害。該貼文還包含大量瀏覽器、郵件和 FTP 用戶端列表。
本文轉載自Dark Reading。
CVE-2017-11882
Agent Tesla
遠端存取木馬
鍵盤記錄器
社交工程
最新活動
2025.02.19
2025資安365年會
2025.02.11
【2025 叡揚資安趨勢講堂】
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
Microsoft Outlook發現嚴重RCE漏洞,已遭駭客利用攻擊
報告:2024年受攻擊資安漏洞達768個,較2023年多兩成
合勤科技:停產路由器漏洞不予修補,建議用戶汰換設備
2024年活躍的勒索軟體集團超過 75 個,較2023成長7成多
美國CISA 將微軟 .NET 和 Apache OFBiz 漏洞列入KEV並要求修補 Linux 內核漏洞
資安人科技網
文章推薦
鎖定華語使用者!假Chrome下載網站散布ValleyRAT木馬程式
Microsoft Outlook發現嚴重RCE漏洞,已遭駭客利用攻擊
駭客利用 SimpleHelp RMM 漏洞發動持續性攻擊與勒索軟體入侵