AgentTesla正在全球范围内对企业发起新的攻击活动
一场恶意活动开始于 2022 年 8 月中旬,专门散布资讯窃取工具 AgentTesla。这些恶意行为者瞄准受害者电脑中的资讯以及浏览器储存的登入凭证。
这场针对南美和欧洲企业的攻击透过伪造邮件地址发送的钓鱼邮件,并附有恶意附件。迄今为止,已发送超过 26000 封邮件。此活动于 2022 年 8 月 12 日星期五开始,目标包括西班牙、葡萄牙、罗马尼亚以及南美的多个国家。在 2022 年 8 月 15 日那周,我们观察到一波较大的攻击针对德国用户,并在该周末再度回到南美,特别是阿根廷。本周则有一次小规模攻击针对瑞士用户。
感染链
邮件是从有效的电子邮件地址发送的,这些地址属于消费者和企业。恶意行为者很可能在伪造电子邮件地址。这些邮件的接收者大多是公开在互联网上的企业。我们已经为来自欧洲和南美的各类企业提供了保护,这些企业包括学校、家居用品商店、标签制造公司以及一家出售游艇的公司。
这些邮件内容简单,只有一句 “Get Outlook for Android” 的文字,并根据接收者所处的地区进行本地化。例如,拥有 de 电子邮件地址的受害者会收到从伪造的 de 电子邮件地址发送的德文邮件。邮件的主题和附件均命名为 Draft Contract,依据邮件发送对象的不同而使用不同语言。附件的扩展名为 IMG 或 ISO。
伪造的钓鱼邮件范例
附加文件实际上是一个磁碟映像文件,但它包含了以相同名称“Draft Contract”编译的 HTML 格式chm。打开后会出现一个窗口见下图,似乎没有其他动作发生。然而,一系列背景操作被触发,导致感染。
编译为 HTML 的“Draft Contract”文件
此外,该文件还包含一段混淆的 JavaScript。这段 JavaScript 会执行以下 PowerShell 命令。该命令下载最终的有效载荷。
PowerShell 下载器
在背景中,最终有效载荷是从一个看似合法的网站上下载的,并伪装成请求 JPG 图像。这样做是为了逃避防火墙、入侵检测系统和恶意软体分析师的检测。然而,下载的数据并不是 JPG 图像,而是一个 PowerShell 脚本,进而安装和运行 AgentTesla 恶意程式。
AgentTesla 是间谍软体,能够:
从浏览器、电子邮件客户端、VPN 客户端、FTP 客户端、剪贴簿窃取密码通过用户在网站上输入登入凭证时的录入行为窃取密码截取萤幕截图窃取用户电脑的资讯下载更多恶意程式这个恶意活动背后的行为者正在窃取存储在浏览器和电子邮件客户端等应用程式中的凭证,并收集受害者电脑的资讯,如用户名、电脑名称、操作系统、CPU 和 RAM。在这种情况下,AgentTesla 伪装为注入的 InstallUtilexe 可执行文件中的代码。立即执行后,AgentTesla 会收集有关计算机的基本数据,并保存应用程式中存储的凭证,然后将其发送至攻击者控制的 FTP 伺服器。
下图显示了感染链的状况。至 FTP 伺服器的凭证以明文形式发送,让我们能够访问 C2 伺服器。整个攻击活动的所有资料都在 FTP 伺服器上收集。该伺服器保存大量不同的文件,包含受害者电脑的信息和窃取的凭证。这些文件由攻击者每小时下载一次并删除。
感染链概览
存储于 FTP 伺服器的窃取数据
影响
这场攻击活动始于 2022 年 8 月 12 日星期五,在南美、西班牙、葡萄牙和罗马尼亚等国家流传,还在意大利和法国有相对较小的影响。在这第一波攻击中,我们阻挡了约 2500 次攻击。2022 年 8 月 16 日星期二,攻击开始针对德国用户持续两天。在这段时间,我们保护了约 10000 名用户。2022 年 8 月 18 日星期四,该活动再次针对阿根廷用户。这一波攻击时间短暂,仅持续几个小时,但我们保护了大约 2000 名用户。最后一波攻击是在我们发布之前针对瑞士用户,持续了 2022 年 8 月 23 日的早晨。
每小时保护的用户数
使用者如何自我保护
这类活动普遍而广泛,因此十分危险。最佳的防御方法是保持警惕。这些活动中的一个普遍迹象是预期文件格式的附加扩展名。我们经常看到附件以例如 pdfexe 或 docxexe 结尾。这类附件几乎可以肯定是恶意软体,因为它们是可执行文件,但其目的是让受害者误以为是文件,因为它们的名称中包含 pdf 或 docx。
火烧云npv加速器我们建议任何收到这些电子邮件的人都立即将其删除。如果对收到的消息是否真实有疑虑,请不要点击任何链接或附件,而是直接访问看起来是该消息发送者的公司的网站,并使用该网站上列出的联系情报进行核实。
可能的入侵指标 (IoCs)
SHA256 哈希值
ISO 附件:83fe51953a0fe44389e197244faf90afe8ee80101dc33cb294cf6ef710e5aaba
AgentTesla 下载脚本:76f707afa3d4b2678aa5af270ea9325de6f8fdc4badf7249418e785438f1b8da
AgentTesla 注入器:eb455ffb1595d1a06fc850ebc49b270ae84dd609e7b52144a60bb45cf4c4eb0e
基础架构
FTP 外泄伺服器:ftpakmokykla[]lt
AgentTesla 下载伺服器:assltextile[]com/Su34Mjpgconsultmob[]ro/M777jpghandcosalon[]com/Su57jpg
IoCs 也可在我们的 IoC 存储库 中获得。
标签:AgentTesla、分析、恶意软体、钓鱼、间谍软体
分享:XFacebook