Zscaler 报道称，攻击者正在利用一个已存在六年之久的 Microsoft Office 远程代码执行 (RCE) 漏洞 (CVE-2017-11882) 传播间谍软件，它们利用恶意 Excel 附件和精湛的躲避技术通过邮件实施攻击。

攻击者以与业务活动相关的诱饵在垃圾邮件中传播包含 CVE-2017-11882的文件。该漏洞可追溯至2014年，可导致系统接管，最初发现时它的最终目的是加载远程访问木马 (RAT) Agent Tesla以及高阶的键盘记录器，以及通过由攻击者运行的一个 Telegram 机器人从受感染系统中提取凭据和其它数据。

CVE-2017-11882是位于Office Equation 编辑器中的一个内存损坏漏洞。成功利用该漏洞可使攻击者在当前用户的上下文中接管受影响系统，甚至在用户以管理员权限登录的状态下接管受影响系统。尽管该漏洞早已被打补丁，但Office 的老旧版本仍可能易受攻击。

尽管已存在近十年之久，Agent Tesla 仍然是攻击者常用的武器，它包含多种功能如剪贴板记录、屏幕键盘记录、截屏以及从不同的web浏览器提取已存储的密码。

该攻击向量的独特之处在于它在一个长期存在的漏洞身上增加了新的复杂性和躲避技术并以此作为感染方法，因此，使“组织机构跟进不断演变的网络威胁以保护数字化安全来说十分重要”。

基于邮件的攻击：典型诱饵、新型技术

在最初的感染向量中，该邮件攻击活动似乎没有任何特别之处，威胁行动者使用的是含有业务相关诱饵如“订单”和“发票”等字眼的邮件内容。这些信息要求收件人立即回复，从而制造一种紧急性。

但一旦用户上钩，则攻击方法转为新型手法。通过易受攻击表单版本应用打开恶意 Excel 附件启动了含有推送更多文件的恶意目的地的通信，其中第一份文件是重度混淆的VBS文件。该VBS文件使用的变量名称长度为100个字符，这“对分析和反混淆增加了复杂度”。

该文件随后开始下载恶意 JPG 文件，之后执行 PowerShell 可执行文件，从镜像文件中检索 Base64的编码 DLL来解码 DLL并从所解码的DLL 中加载恶意程序。

PowerShell 加载后，攻击者还会使用另外一种新型技术：它会执行 RegAsm.exe 文件，主要目的是与注册表读写操作进行关联。然而，在攻击上下文中，该文件的目的是以真实操作为幌子来执行恶意活动。之后，该DLL提取 Agent Tesla payload 并将一个线程注入 RegAsm 流程中。

Agent Tesla 恶意软件的动作

一旦被部署，Agent Tesla 开始从浏览器、邮件客户端和 FTP 应用中窃取数据，并将其发送给由攻击者控制的恶意目的地。它还试图部署键盘和剪贴板钩子，监控用户的所有键击并捕获用户复制的数据。

具体而言，Agent Tesla 使用 window hooking 技术监控事件信息、鼠标事件和键击。当用户有所动作时，威胁行动者的函数会在动作发生前进行拦截。该恶意软件最终将所提取的数据发送给由威胁行动者控制的一个 Telegram 机器人。

Zscaler 在文章中列出了所有的妥协指标，包括用于提取的 Telegram URL、恶意URL、多种恶意 Excel、VBS、JPG和DLL文件，以及恶意可执行文件，帮助识别系统是否已遭攻陷。另外还列出了Agent Tesla 试图从中窃取凭据的浏览器与邮件和FTP客户端，以提醒组织及构保持警惕。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~