Platón adatintelligencia.
Vertical Search & Ai.

Kiberbiztonság

A támadók a 6 éves Microsoft Office-hibát használják ki kémprogramok terjesztésére

Platón újra közzététele
Platón újra közzététele

Találka:

Megtekintések: 0

A támadók a Microsoft Office távoli kódvégrehajtásának (RCE) 6 éves hibáját használják ki kémprogramok továbbítására egy rosszindulatú Excel-mellékletekkel felfegyverzett és kifinomult kijátszási taktikával jellemezhető e-mail kampányban.

A fenyegetőző szereplők az üzleti tevékenységgel kapcsolatos csalikat olyan spam e-mailekben helyezik el, amelyek tartalmaznak fájlokat CVE-2017 11882-, egy RCE-hiba, amely 2014-re nyúlik vissza, és lehetővé teszi a rendszer átvételét – tárta fel a Zscaler egy blogbejegyzés megjelent december 19. A támadás végcélja a terhelés Tesla ügynök, egy távoli hozzáférésű trójai (RAT) és fejlett keylogger, amelyet először 2014-ben fedeztek fel, és a támadók által futtatott Telegram bot segítségével kiszűrik a hitelesítő adatokat és egyéb adatokat a fertőzött rendszerből.

A CVE-20170-11882 memóriasérülési hiba a Microsoft Office egyenletszerkesztőjében található. A hibát sikeresen kihasználó támadó tetszőleges kódot futtathat az aktuális felhasználó környezetében, és akár az érintett rendszert is átveheti, ha a felhasználó rendszergazdai jogokkal jelentkezik be. Bár a sebezhetőséget már régóta befoltozták, régebbi verziók of Microsoft Office még használatban lévő sérülékeny lehet.

Annak ellenére, hogy közel egy évtizedes, Tesla ügynök maradt közös fegyver támadók által használt, és olyan funkciókat tartalmaz, mint a vágólap naplózása, a képernyőbillentyűzet naplózása, a képernyő rögzítése és a tárolt jelszavak kinyerése a különböző webböngészőkből.

A támadási vektor egyedülálló abban, hogy párosítja a régóta fennálló sebezhetőség új komplexitású és kijátszási taktikákkal, amelyek a támadók fertőzési módszereihez való alkalmazkodást demonstrálják, így „a szervezetek számára elengedhetetlen, hogy naprakészek maradjanak a fejlődő kiberfenyegetésekről digitális környezetük védelme érdekében” – jegyezte meg Kaivalya Khursale, Zscaler vezető biztonsági kutató a bejegyzésben.

E-mail alapú kibertámadás: tipikus csalik, újszerű taktika

A kezdeti fertőzési vektorban a kampány kivételesnek tűnik, és a fenyegetés szereplői is használják társadalmilag tervezett e-mailek üzlet-orientált csalikkal az üzenetekben, olyan szavakkal fűszerezve, mint „megrendelések” és „számlák”. Az üzenetek sürgősséget adnak azáltal, hogy azonnali választ kérnek a címzettektől.

A kutatók megállapították, hogy amint a felhasználó megragadja a csalit, a támadási módszer a nem szokványosra vált. Megnyitva a rosszindulatú Excel-melléklet a táblázatkezelő alkalmazás sebezhető verziójával kommunikációt kezdeményez egy rosszindulatú célállomással, amely további fájlokat küld, amelyek közül az első egy erősen homályos VBS-fájl, amely 100 karakter hosszú változóneveket használ. Ez „egy réteg bonyolultabbá teszi az elemzést és a deobfuszkációt” – írta Khursale.

Ez a fájl elindítja egy rosszindulatú JPG-fájl letöltését, majd a VBS-fájl végrehajt egy PowerShell-futtatható fájlt, amely lekéri a Base64-kódolású DLL-t a képfájlból, dekódolja a DLL-t, és betölti a rosszindulatú eljárásokat a dekódolt DLL-ből.

A PowerShell betöltése után van egy másik új taktika: végrehajtja a RegAsm.exe fájlt – amelynek elsődleges funkciója jellemzően a rendszerleíró adatbázis olvasási-írási műveleteihez kapcsolódik, jegyezte meg Khursale. A támadással összefüggésben azonban a fájl célja rosszindulatú tevékenységek végrehajtása valódi művelet leple alatt – mondta. Innentől a DLL lekéri az Agent Tesla rakományt, és beilleszt egy szálat a RegAsm folyamatba.

A Tesla ügynök malware akcióban

A telepítést követően a spyware A RAT számos böngészőből, levelezőkliensből és FTP-alkalmazásból lop el adatokat, és azokat egy rosszindulatú célállomásra küldi, amelyet a fenyegetés szereplői irányítanak. Megkísérli továbbá a billentyűzet és a vágólap horgok telepítését az összes billentyűleütés figyelésére és a felhasználó által másolt adatok rögzítésére.

Konkrétan, az Agent Tesla ablakbekapcsolást használ, amely az eseményüzenetek, egéresemények és billentyűleütések figyelésére használt technikát. Amikor egy felhasználó cselekszik, a fenyegetés szereplőjének funkciója elfogja, mielőtt a művelet megtörténne, mondta Khursale. A rosszindulatú program végül elküldi a kiszűrt adatokat egy Telegram-botnak, amelyet a fenyegető szereplő irányít.

A Zscaler a blogbejegyzésbe belefoglalta a kompromisszummutatók (IoC) átfogó listáját – beleértve a kiszűréshez használt Telegram URL-ek listáját is; rosszindulatú URL-ek; különféle rosszindulatú Excel-, VBS-, JPG- és DLL-fájlok; és rosszindulatú végrehajtható fájlok – hogy segítsenek azonosítani, ha egy rendszert feltörtek. A bejegyzés tartalmaz egy kiterjedt listát azokról a böngészőkről, levelező- és FTP-kliensekről, amelyekből a Tesla ügynök hitelesítő adatokat próbál ellopni, hogy segítse a szervezeteket az éberségben.

spot_img

Legújabb intelligencia

spot_img

Copyright @ 2024 Plato Technologies Inc.

Beszélj velünk

Szia! Miben segíthetek?