安全人员发现了Agent Tesla恶意软件的数据

2021年10月6日，据媒体消息，总部位于洛杉矶的安全公司Resecurity和网络威胁情报部门、研发部门、白帽猎人，一起排除了Agent Tesla C&C中继站通信（C2）的干扰，并且提取了超过950GB的日志信息，其中包括泄露的互联网用户凭证、文件和其他被恶意代码窃取的用户敏感数据。

这些收集到的数据将不仅有助于有关部门排查受害者，挽回数据泄露造成的损失，同时也可以挖掘使用Agent Tesla恶意软件不法分子的活动时间表和分布区域。据悉，受害者来自全球各个地方，包括美国、加拿大、意大利、德国、西班牙、墨西哥、哥伦比亚、智利、巴西、新加坡、韩国、马来西亚、台湾、日本、埃及、阿拉伯联合酋长国(UAE)、科威特、沙特阿拉伯王国(KSA)、海湾地区以及其他国家。

公开资料显示，Agent Tesla是全球知名的恶意软件之一，在多次数据泄露事件中都有它的身影。而此次数据提取操作汇聚了Resecurity安全公司，欧盟、中东和北美等地区的执法部门，和几家大的互联网公司才得以成功。

Agent Tesla恶意软件首次被发现于2014年，时至今日，它仍然是流行的远程访问木马(RAT)工具。网络攻击者曾用它来窃取用户电脑上的各种信息，例如网络证书、键盘记录、剪切板记录以及其它想要获取的信息，并以此获利。

不论是网络犯罪组织还是活跃的不法分子，选择RAT的原因不外乎是它的稳定性、灵活性和强大的功能，可以让他们轻而易举地获取用户的敏感数据，并清理入侵痕迹，全身而退。

需要注意的是，Agent Tesla所获取的证书和数据大多数都是来自于金融服务，电商，政府系统以及个人或商业电子邮件有关。

研究人员曾发现了Agent Tesla恶意软件的活跃实例，并针对性地开发了一种机制，以此来发现受到它影响的客户端并提取出那些被泄露的数据。为了鼓励安全人员更好地对抗Agent Tesla恶意软件，Resecurity公司的白帽猎人做了一个分享视频，向大家展示了如何将NET反向工程和反混淆技术应用于 Agent Tesla 的分析。

Resecurity公司的威胁研究人员Ahmed Elmalky则表示：“一旦成功追踪到Agent Tesla的活动，那么全球范围内受此困扰的受害者和可能存在的网络威胁行为都能得到缓解。某种程度上，我们已经看到了一些非常清晰的网络犯罪模式，但是，我们也看到了，那些在特定国家开展活动的不法分子依旧在使用这种网络攻击工具，原因是它可以地下黑客社区使用。”

根据多家网络安全公司研究员和Agent Tesla恶意软件跟踪研究者的说法，RAT依旧会对微软Windows 环境产生持续性的威胁，它入侵的方式主要是通过发送恶意电子邮件来实现。

在最近的更新中，Agent Tesla再一次将目标瞄准了微软内置的反恶意软件扫描接口（ASMI），以此更好地逃避微软系统的检测，同时还会使用一种复杂的机制来传输窃取的数据。

例如在去年，Agent Tesla就曾被用于石油和天然气行业的高针对性活动。在一场竞选活动中，网络攻击者冒充了一个著名的埃及工程承包商参与陆地和海上的项目（Enppi-石油制造工业工程），并借此针对马来西亚、美国、伊朗、南非、阿曼和土耳其的能源行业发起攻击。

他们还冒充东南亚某物流集团公司，利用相关的化学品/油轮的合法信息发送钓鱼邮件，使恶意电子邮件发送给特定的用户时变得更可信。

因此，有安全专家表示，用户在使用电子邮件时一定要小心，尤其是在处理附件的时候，因为Agent Tesla经常通过电子邮件附件挟带为感染途径。

文章来源：

https://securityaffairs.co/wordpress/123039/malware/agent-tesla-c2c-dumped.html