攻击者利用已有六年历史的 Office 漏洞传播间谍软件

据Dark Reading网站消息，有攻击者正利用已存在6年的微软 Office 远程代码执行 (RCE) 漏洞，以恶意Excel附件的形式在电子邮件中传播间谍软件。

成都创新互联公司主营和布克赛尔蒙古网站建设的网络公司,主营网站建设方案,app软件开发公司,和布克赛尔蒙古h5微信平台小程序开发搭建,和布克赛尔蒙古网站营销推广欢迎和布克赛尔蒙古等地区企业咨询

该漏洞虽然披露于2017年，但最早的恶意利用可追溯至2014年，攻击的最终目标是通过加载Agent Tesla这一种远程访问木马 (RAT) 和高级键盘记录器，将最终窃取的数据发送到由攻击者控制的 Telegram 机器人。

尽管已有尽10年历史，Agent Tesla 仍然是攻击者使用的常见武器，利用它能实现包括剪贴板记录、屏幕键盘记录、屏幕捕获以及从不同 Web 浏览器提取存储的密码等功能。

攻击工程

感染活动利用社会工程学，从攻击者准备的含有恶意Excel附件的电子邮件开始，并在邮件主题中使用 "订单 "和 "发票 "等字眼，并要求收件人立即回复，从而增加了紧迫感。

研究人员发现，一旦用户上钩，攻击方法就会变得非常规。使用易受攻击版本的电子表格应用程序打开恶意 Excel 附件，就会启动与恶意目标的通信，该恶意目标会推送附加文件，其中第一个文件是一个严重混淆的 VBS 文件，使用的变量名长达 100 个字符，以增加分析和解混淆的复杂性。

接着，该文件依次开始下载恶意 JPG 文件，之后 VBS 文件执行 PowerShell 可执行文件，该可执行文件会从图片文件中检索 Base64 编码的 DLL，并从解码后的 DLL 中加载恶意程序。

恶意通信和附加文件下载

PowerShell 加载后，还有另一种新颖的策略——执行 RegAsm.exe 文件，该文件的主要功能通常与注册表读写操作相关，目的是在真实操作的幌子下进行恶意活动。在此，DLL 获取 Agent Tesla 负载并将线程注入 RegAsm 进程。

一旦部署成功，间谍软件就会从大量浏览器、邮件客户端和 FTP 应用程序中窃取数据，并还尝试部署键盘和剪贴板挂钩来监视所有击键并捕获用户复制的数据。

目前这种攻击方式的独特之处在于，它将长期存在的漏洞与新的复杂规避策略结合在一起，展示了攻击者在感染方法方面较强的适应性。为此，Zscaler 高级工程师安全研究员 Kaivalya Khursale 指出：“组织必须及时了解不断变化的网络威胁，以保护其数字环境。”

当前名称：攻击者利用已有六年历史的 Office 漏洞传播间谍软件
分享URL：http://www.hantingmc.com/qtweb/news32/117782.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联