攻击者利用已有6年历史的Office 漏洞传播间谍软件

上官雨宝2023-12-22 18:09:06

据Dark Reading网站消息,有攻击者正利用已存在6年的微软Office 远程代码执行 (RCE) 漏洞,以恶意Excel附件的形式在电子邮件中传播间谍软件。

该漏洞虽然披露于2017年,但最早的恶意利用可追溯至2014年,攻击的最终目标是通过加载Agent Tesla这一种远程访问木马 (RAT) 和高级键盘记录器,将最终窃取的数据发送到由攻击者控制的 Telegram 机器人。

尽管已有尽10年历史,Agent Tesla 仍然是攻击者使用的常见武器,利用它能实现包括剪贴板记录、屏幕键盘记录、屏幕捕获以及从不同 Web 浏览器提取存储的密码等功能。

攻击工程

感染活动利用社会工程学,从攻击者准备的含有恶意Excel附件的电子邮件开始,并在邮件主题中使用 "订单 "和 "发票 "等字眼,并要求收件人立即回复,从而增加了紧迫感。

研究人员发现,一旦用户上钩,攻击方法就会变得非常规。使用易受攻击版本的电子表格应用程序打开恶意 Excel 附件,就会启动与恶意目标的通信,该恶意目标会推送附加文件,其中第一个文件是一个严重混淆的 VBS 文件,使用的变量名长达 100 个字符,以增加分析和解混淆的复杂性。

接着,该文件依次开始下载恶意 J​​PG 文件,之后 VBS 文件执行 PowerShell 可执行文件,该可执行文件会从图片文件中检索 Base64 编码的 DLL,并从解码后的 DLL 中加载恶意程序。

恶意通信和附加文件下载

PowerShell 加载后,还有另一种新颖的策略——执行 RegAsm.exe 文件,该文件的主要功能通常与注册表读写操作相关,目的是在真实操作的幌子下进行恶意活动。在此,DLL 获取 Agent Tesla 负载并将线程注入 RegAsm 进程。

一旦部署成功,间谍软件就会从大量浏览器、邮件客户端和 FTP 应用程序中窃取数据,并还尝试部署键盘和剪贴板挂钩来监视所有击键并捕获用户复制的数据。

目前这种攻击方式的独特之处在于,它将长期存在的漏洞与新的复杂规避策略结合在一起,展示了攻击者在感染方法方面较强的适应性。为此,Zscaler 高级工程师安全研究员 Kaivalya Khursale 指出:“组织必须及时了解不断变化的网络威胁,以保护其数字环境。”

参考来源:Attackers Exploit 6-Year-Old Microsoft Office Bug to Spread Spyware
网络安全软件
本作品采用《CC 协议》,转载必须注明作者和本文链接
思科对网络安全软件公司Splunk的收购不是一笔简单的交易,具有多个战略目的。这是思科有史以来最大的一笔交易,加强了其在网络硬件领域以外的力量,并巩固了其在网络安全和AI可观察性软件领域的优势。
2023年9月21日,思科(NASDAQ:CSCO)与网络安全软件公司Splunk(纳斯达克股票代码:SPLK)宣布达成一项最终协议。根据该协议,思科拟以每股157美元的现金收购Splunk,股权价值约为280亿美元。
北京时间9月21日晚间消息,思科公司宣布,将以每股157美元的现金收购网络安全软件公司Splunk,交易总金额约为280亿美元。
本周四晚间,据彭博社多家美国媒体报道,思科公司(CISCO)宣布以每股157美元、总价约280亿美元的现金交易收购网络安全软件公司Splunk,这是思科公司有史以来最大一笔收购,同时也是IT行业2023年规模最大的收购案。Splunk的股价在公告后上涨了21%,而思科的股价则下跌了4%。
据彭博社多家美国媒体报道,思科公司(CISCO)宣布以每股157美元、总价约 280 亿美元的现金交易收购网络安全软件公司 Splunk,这是思科公司有史以来最大一笔收购,同时也是IT行业 2023 年规模最大的收购案。
企业应该了解这些威胁载体,以及向预防和减轻威胁的网络安全专业人员咨询网络安全威胁的预测至关重要。网络犯罪即服务使不法分子能够向他人提供黑客服务并收取费用。
软件供应链安全风险解析 随着互联网的迅猛发展,软件供应链安全事件近年来频繁发生。软件供应链安全具有威胁对象种类多、极端隐蔽、涉及纬度广、攻击成本低回报高、检测困难等特性。软件供应链中的任意环节遭受攻击,都会引起连锁反应,甚至威胁到国家网络安全
重要事件回顾,智览网安行业发展。近日国内外网安行业发生了哪些重要事件,呈现出了怎样的发展态势呢?中国网安科技情报研究团队将从行业大角度出发,带领大家回顾近日国内外行业的重要事件,探究其中的发展态势。
尽管全球经济充满不确定性,企业业务风险增加,但网络安全市场是少数“反脆弱性商机“之一。
上官雨宝
是水水水水是