https://www.informationsecurity.com.tw/Seminar/2024_TCM/
https://www.informationsecurity.com.tw/Seminar/2024_TCM/

新聞

攻擊者利用已有6年歷史的微軟Office 漏洞散播間諜軟體

2023 / 12 / 25
編輯部
攻擊者利用已有6年歷史的微軟Office 漏洞散播間諜軟體
外媒近日報導惡意網路攻擊者正利用已存在6年的微軟Office 遠端程式碼執行 (RCE) 漏洞,以惡意Excel附件檔案的形式利用電子郵件散播木馬軟體。
 
CVE-2017-11882 漏洞雖然早在2017年披露,但最早的惡意利用可追溯至2014年,攻擊的目標是透過載入Agent Tesla這類遠端存取木馬 (RAT) 和鍵盤記錄器,將最終竊取的資料發送到由攻擊者控制的 Telegram 機器人帳號。

CVE-20170-11882 是 Microsoft Equation Editor 中發現的記憶體損壞漏洞。成功利用該漏洞的攻擊者可以在受害系統上執行任意程式碼,如果使用者以管理員權限登錄,攻擊者甚至可以接管系統。儘管該漏洞早已修補,但仍在使用的舊版Microsoft Office可能容易受到攻擊。

研究人員表示Agent Tesla 仍然是攻擊者使用的常見武器,能實現包含剪貼簿記錄、螢幕鍵盤記錄、螢幕截圖以及從不同網路瀏覽器竊取密碼等功能。

攻擊過程

攻擊鏈利用社交工程手法,從含有惡意Excel附件的電子郵件開始,郵件主題使用 「訂單」和 「發票 」等字眼,並要求收件人立即回覆。研究人員發現,一旦用戶受騙,打開惡意 Excel 附件,就會啟動與惡意目標的溝通,該惡意目標會推送附加檔案,其中第一個檔案是一個嚴重混淆的 VBS 檔,使用的變數名長達 100 個字元,以增加分析和解混淆的複雜性。

接著,該檔案依次開始下載惡意 J​​PG 檔,之後 VBS 檔執行 PowerShell 可執行檔,該可執行檔會從圖片檔中檢索 Base64 編碼的 DLL,並從解碼後的 DLL 中載入惡意程式。

PowerShell 載入後,還有另一種新穎的手法:執行 RegAsm.exe 檔,該執行檔的主要功能通常與登入註冊的讀寫操作相關,目的是在真實操作的幌子下進行惡意活動。在此,DLL 獲取 Agent Tesla 負載並將執行序注入 RegAsm 程序。

一旦部署成功,間諜軟體就會從瀏覽器、郵件用戶端和 FTP 應用程式中竊取資料,並還嘗試部署鍵盤和剪貼簿來監視所有鍵盤、滑鼠動作並竊取使用者複製的資料。
 
這種攻擊方式的獨特之處在於,它將長期存在的漏洞與新的複雜規避策略結合在一起。
 
Zscaler 在官方部落格文章已列出完整的IoC列表,其中包括用於滲透的 Telegram URL 列表、惡意網址、各種惡意Excel、VBS、JPG、DLL檔、和惡意可執行檔 - 協助用戶識別系統是否已受到損害。該貼文還包含大量瀏覽器、郵件和 FTP 用戶端列表。

本文轉載自Dark Reading。