據(jù)Dark Reading網(wǎng)站消息，有攻擊者正利用已存在6年的微軟 Office 遠(yuǎn)程代碼執(zhí)行 (RCE) 漏洞，以惡意Excel附件的形式在電子郵件中傳播間諜軟件。

該漏洞雖然披露于2017年，但最早的惡意利用可追溯至2014年，攻擊的最終目標(biāo)是通過(guò)加載Agent Tesla這一種遠(yuǎn)程訪問(wèn)木馬 (RAT) 和高級(jí)鍵盤記錄器，將最終竊取的數(shù)據(jù)發(fā)送到由攻擊者控制的 Telegram 機(jī)器人。

盡管已有盡10年歷史，Agent Tesla 仍然是攻擊者使用的常見(jiàn)武器，利用它能實(shí)現(xiàn)包括剪貼板記錄、屏幕鍵盤記錄、屏幕捕獲以及從不同 Web 瀏覽器提取存儲(chǔ)的密碼等功能。

攻擊工程

感染活動(dòng)利用社會(huì)工程學(xué)，從攻擊者準(zhǔn)備的含有惡意Excel附件的電子郵件開(kāi)始，并在郵件主題中使用 "訂單 "和 "發(fā)票 "等字眼，并要求收件人立即回復(fù)，從而增加了緊迫感。

研究人員發(fā)現(xiàn)，一旦用戶上鉤，攻擊方法就會(huì)變得非常規(guī)。使用易受攻擊版本的電子表格應(yīng)用程序打開(kāi)惡意 Excel 附件，就會(huì)啟動(dòng)與惡意目標(biāo)的通信，該惡意目標(biāo)會(huì)推送附加文件，其中第一個(gè)文件是一個(gè)嚴(yán)重混淆的 VBS 文件，使用的變量名長(zhǎng)達(dá) 100 個(gè)字符，以增加分析和解混淆的復(fù)雜性。

接著，該文件依次開(kāi)始下載惡意 JPG 文件，之后 VBS 文件執(zhí)行 PowerShell 可執(zhí)行文件，該可執(zhí)行文件會(huì)從圖片文件中檢索 Base64 編碼的 DLL，并從解碼后的 DLL 中加載惡意程序。

惡意通信和附加文件下載

PowerShell 加載后，還有另一種新穎的策略——執(zhí)行 RegAsm.exe 文件，該文件的主要功能通常與注冊(cè)表讀寫操作相關(guān)，目的是在真實(shí)操作的幌子下進(jìn)行惡意活動(dòng)。在此，DLL 獲取 Agent Tesla 負(fù)載并將線程注入 RegAsm 進(jìn)程。

一旦部署成功，間諜軟件就會(huì)從大量瀏覽器、郵件客戶端和 FTP 應(yīng)用程序中竊取數(shù)據(jù)，并還嘗試部署鍵盤和剪貼板掛鉤來(lái)監(jiān)視所有擊鍵并捕獲用戶復(fù)制的數(shù)據(jù)。

目前這種攻擊方式的獨(dú)特之處在于，它將長(zhǎng)期存在的漏洞與新的復(fù)雜規(guī)避策略結(jié)合在一起，展示了攻擊者在感染方法方面較強(qiáng)的適應(yīng)性。為此，Zscaler 高級(jí)工程師安全研究員 Kaivalya Khursale 指出：“組織必須及時(shí)了解不斷變化的網(wǎng)絡(luò)威脅，以保護(hù)其數(shù)字環(huán)境。”