據(jù)Dark Reading網(wǎng)站消息，有攻擊者正利用已存在6年的微軟Office 遠程代碼執(zhí)行 (RCE) 漏洞，以惡意Excel附件的形式在電子郵件中傳播間諜軟件。

該漏洞雖然披露于2017年，但最早的惡意利用可追溯至2014年，攻擊的最終目標是通過加載Agent Tesla這一種遠程訪問木馬 (RAT) 和高級鍵盤記錄器，將最終竊取的數(shù)據(jù)發(fā)送到由攻擊者控制的 Telegram 機器人。

盡管已有近10年歷史，Agent Tesla 仍然是攻擊者使用的常見武器，利用它能實現(xiàn)包括剪貼板記錄、屏幕鍵盤記錄、屏幕捕獲以及從不同 Web 瀏覽器提取存儲的密碼等功能。

攻擊過程

感染活動利用社會工程學，從攻擊者準備的含有惡意Excel附件的電子郵件開始，并在郵件主題中使用 "訂單 "和 "發(fā)票 "等字眼，并要求收件人立即回復，從而增加了緊迫感。

研究人員發(fā)現(xiàn)，一旦用戶上鉤，攻擊方法就會變得非常規(guī)。使用易受攻擊版本的電子表格應用程序打開惡意 Excel 附件，就會啟動與惡意目標的通信，該惡意目標會推送附加文件，其中第一個文件是一個嚴重混淆的 VBS 文件，使用的變量名長達 100 個字符，以增加分析和解混淆的復雜性。

接著，該文件依次開始下載惡意 JPG 文件，之后 VBS 文件執(zhí)行 PowerShell 可執(zhí)行文件，該可執(zhí)行文件會從圖片文件中檢索 Base64 編碼的 DLL，并從解碼后的 DLL 中加載惡意程序。

惡意通信和附加文件下載

PowerShell 加載后，還有另一種新穎的策略——執(zhí)行 RegAsm.exe 文件，該文件的主要功能通常與注冊表讀寫操作相關，目的是在真實操作的幌子下進行惡意活動。在此，DLL 獲取 Agent Tesla 負載并將線程注入 RegAsm 進程。

一旦部署成功，間諜軟件就會從大量瀏覽器、郵件客戶端和 FTP 應用程序中竊取數(shù)據(jù)，并還嘗試部署鍵盤和剪貼板掛鉤來監(jiān)視所有擊鍵并捕獲用戶復制的數(shù)據(jù)。

目前這種攻擊方式的獨特之處在于，它將長期存在的漏洞與新的復雜規(guī)避策略結(jié)合在一起，展示了攻擊者在感染方法方面較強的適應性。為此，Zscaler 高級工程師安全研究員 Kaivalya Khursale 指出：“組織必須及時了解不斷變化的網(wǎng)絡威脅，以保護其數(shù)字環(huán)境。”

參考資料：https://www.darkreading.com/cloud-security/attackers-exploit-microsoft-office-bug-spyware

來源：FreeBuf