发布于2022年11月4日3年前 虚假钓鱼订单瞄准乌克兰公司,传播 Agent Tesla 虚假的发票与订单一直都是钓鱼邮件中的常见诱饵。研究人员近期发现了一封发送给处理原材料和化学品的乌克兰制造公司的钓鱼邮件,包含恶意 PowerPoint 附件,通过恶意附件部署 Agent Tesla RAT 进行后续攻击。攻击的独特之处在于使用了 PPAM 这种不常见的文件格式。PPAM 是一种 Microsoft PowerPoint 加载项,可为开发人员提供额外的功能,例如额外的命令、自定义宏和新工具。电子邮件发送给乌克兰的电子邮件如下所示:电子邮件放下拼写和语法不谈,与大多数钓鱼邮件一样,攻击者都提供了时间期限督促收件人查看附件。查看电子邮件以及来源可以发现:电子邮件页面该电子邮件的来源地址为 194.99.46.38,对应域名为 slot0.warongsoto.com。查看该网站可以发现,服务器使用 VESTA 进行控制,最近 VESTA 被发现存在远程命令执行漏洞(CVE-2020-10786 和 CVE-2020-10787)。域名 2021 年 10 月在美国注册,似乎已经被遗弃或者并未使用。Dropper阶段一攻击分阶段进行,电子邮件附件为 order001.ppam,其中包含一个恶意宏代码作为 Agent Tesla 的 Dropper。宏代码执行宏代码后,通过 bit.ly(http://www.bitly.com/awnycnxbcxncbrpopor/)下载下一阶段的 Dropper。阶段二请求被重定向到文件托管站点 MediaFire,这说明攻击不是针对某个人的。恶意文件每个文件都十分类似,只是稍作调整。HTM 文件整理成更易读的格式如下所示:HTM 文件恶意文件尝试终止多个应用程序和服务,并添加下载样本的计划任务。阶段三尽管上一阶段下载的恶意样本容易让人以为是 DLL 文件,但实际为一个 PowerShell 文件,其中包含大量十六进制数据指令。HMT 文件执行后,十六进制数据将会转换成为在内存中运行的 PowerShell 命令。例如,使用注册表进行持久化:持久化其中最大的是两个字节数组:字节数组字节数组被转存为可执行文件,较大的 $nona是 Agent Tesla。而 $STRDYFUGIHUYTYRTESRDYUGIRI会将 Agent Tesla 注入正在运行的 Windows 进程中。将 19.dll重命名为 19.ps1并作为普通 PowerShell 脚本执行。启动 Agent Tesla 并注入 aspnet_compiler.exe 中。执行Agent TeslaAgent Tesla 会从键盘和剪贴板获取信息并发送会 C&C 服务器。一旦注入到 aspnet_compiler.exe 进程中,Agent Tesla 就会启动并运行,并且通过注册表修改完成持久化。调试运行恶意样本会持续在后台运行并将记录的行为发送给攻击者。典型连接结论攻击者一直在利用虚假发票、虚假订单的钓鱼邮件且屡试不爽。通过多阶段的 Dropper 拉取规避安全检测,最后执行的 Agent Tesla 是一个强大的威胁,并且不会在短时间内减弱。参考来源Fortinet本文作者:Avenger,
创建帐户或登录后发表意见