Brother
Professional
- Messages
- 2,590
- Reaction score
- 483
- Points
- 83
Злоумышленники используют старую уязвимость Microsoft Office в рамках фишинговых кампаний по распространению вредоносного ПО под названием Agent Tesla.
Цепочки заражений используют фиктивные документы Excel, прикрепленные в сообщениях на тему счетов, чтобы обманом заставить потенциальных жертв открыть их и активировать использование CVE-2017-11882 (оценка CVSS: 7,8), уязвимости повреждения памяти в редакторе уравнений Office, которая может привести к выполнению кода с правами пользователя.
Выводы, полученные от Zscaler ThreatLabZ, основаны на предыдущих отчетах Fortinet FortiGuard Labs, в которых подробно описывалась аналогичная фишинговая кампания, использовавшая уязвимость в системе безопасности для распространения вредоносного ПО.
"Как только пользователь загружает вредоносное вложение и открывает его, если его версия Microsoft Excel уязвима, файл Excel инициирует связь с вредоносным адресатом и переходит к загрузке дополнительных файлов, не требуя какого-либо дальнейшего взаимодействия с пользователем", - сказала исследователь безопасности Кайвалья Хурсале.
Первая полезная нагрузка представляет собой запутанный скрипт Visual Basic, который инициирует загрузку вредоносного файла JPG, который поставляется вместе с файлом DLL в кодировке Base64. Эта тактика стеганографического уклонения была ранее также подробно описана McAfee Labs в сентябре 2023 года.
Скрытая библиотека DLL впоследствии внедряется в RegAsm.exe, средство регистрации сборок Windows, для запуска окончательной полезной нагрузки. Стоит отметить, что исполняемый файл также использовался для загрузки Quasar RAT в прошлом.
Agent Tesla - это продвинутый кейлоггер и троянец удаленного доступа на базе .NET (RAT), который предназначен для сбора конфиденциальной информации со скомпрометированных хостов. Затем вредоносное ПО обменивается данными с удаленным сервером для извлечения собранных данных.
"Субъекты угроз постоянно адаптируют методы заражения, поэтому организациям крайне важно быть в курсе развивающихся киберугроз для защиты своего цифрового ландшафта", - сказал Хурсале.
Развитие происходит по мере того, как старые бреши в системе безопасности становятся новыми объектами атак для субъектов угрозы. Ранее на этой неделе Imperva обнаружила, что банда 8220 использует уязвимость трехлетней давности в Oracle WebLogic Server (CVE-2020-14883, оценка CVSS: 7.2) для доставки майнеров криптовалюты.
Это также совпадает с ростом активности вредоносного ПО DarkGate после того, как оно начало рекламироваться ранее в этом году как предложение "вредоносное по как услуга" (MaaS) и как замена QakBot после его удаления в августе 2023 года.
"Кампании по атакам DarkGate в наибольшей степени затрагивают технологический сектор", - сказал Zscaler, ссылаясь на данные телеметрии клиентов.
"Возраст большинства доменов DarkGate составляет от 50 до 60 дней, что может указывать на преднамеренный подход, при котором субъекты угрозы создают и меняют домены с определенными интервалами".
Также были обнаружены фишинговые кампании, нацеленные на гостиничный сектор с помощью электронных сообщений, связанных с бронированием, для распространения вредоносных программ-похитителей информации, таких как RedLine Stealer или Vidar Stealer, согласно Sophos.
"Первоначально они связываются с целью по электронной почте, которая не содержит ничего, кроме текста, но имеет тематику, на которую бизнес, ориентированный на обслуживание (например, отель), захотел бы быстро отреагировать", - сказали исследователи Эндрю Брандт и Шон Галлахер.
"Только после того, как цель ответит на первоначальное электронное письмо субъекта угрозы, субъект угрозы отправляет последующее сообщение, в котором, как они утверждают, содержится подробная информация об их запросе или жалобе".
Несмотря на кражи и троянские программы, фишинговые атаки принимают форму поддельных электронных писем Instagram с "нарушением авторских прав" для кражи резервных кодов двухфакторной аутентификации (2FA) пользователей через мошеннические веб-страницы с целью обхода защиты учетных записей, схема называется Insta-Phish-A-Gram.
"Данные, которые злоумышленники получают в результате такого рода фишинговых атак, могут быть проданы подпольно или использованы для захвата аккаунта", - заявили в фирме по кибербезопасности.
Цепочки заражений используют фиктивные документы Excel, прикрепленные в сообщениях на тему счетов, чтобы обманом заставить потенциальных жертв открыть их и активировать использование CVE-2017-11882 (оценка CVSS: 7,8), уязвимости повреждения памяти в редакторе уравнений Office, которая может привести к выполнению кода с правами пользователя.
Выводы, полученные от Zscaler ThreatLabZ, основаны на предыдущих отчетах Fortinet FortiGuard Labs, в которых подробно описывалась аналогичная фишинговая кампания, использовавшая уязвимость в системе безопасности для распространения вредоносного ПО.
"Как только пользователь загружает вредоносное вложение и открывает его, если его версия Microsoft Excel уязвима, файл Excel инициирует связь с вредоносным адресатом и переходит к загрузке дополнительных файлов, не требуя какого-либо дальнейшего взаимодействия с пользователем", - сказала исследователь безопасности Кайвалья Хурсале.
Первая полезная нагрузка представляет собой запутанный скрипт Visual Basic, который инициирует загрузку вредоносного файла JPG, который поставляется вместе с файлом DLL в кодировке Base64. Эта тактика стеганографического уклонения была ранее также подробно описана McAfee Labs в сентябре 2023 года.
Скрытая библиотека DLL впоследствии внедряется в RegAsm.exe, средство регистрации сборок Windows, для запуска окончательной полезной нагрузки. Стоит отметить, что исполняемый файл также использовался для загрузки Quasar RAT в прошлом.
Agent Tesla - это продвинутый кейлоггер и троянец удаленного доступа на базе .NET (RAT), который предназначен для сбора конфиденциальной информации со скомпрометированных хостов. Затем вредоносное ПО обменивается данными с удаленным сервером для извлечения собранных данных.
"Субъекты угроз постоянно адаптируют методы заражения, поэтому организациям крайне важно быть в курсе развивающихся киберугроз для защиты своего цифрового ландшафта", - сказал Хурсале.
Развитие происходит по мере того, как старые бреши в системе безопасности становятся новыми объектами атак для субъектов угрозы. Ранее на этой неделе Imperva обнаружила, что банда 8220 использует уязвимость трехлетней давности в Oracle WebLogic Server (CVE-2020-14883, оценка CVSS: 7.2) для доставки майнеров криптовалюты.
Это также совпадает с ростом активности вредоносного ПО DarkGate после того, как оно начало рекламироваться ранее в этом году как предложение "вредоносное по как услуга" (MaaS) и как замена QakBot после его удаления в августе 2023 года.
"Кампании по атакам DarkGate в наибольшей степени затрагивают технологический сектор", - сказал Zscaler, ссылаясь на данные телеметрии клиентов.
"Возраст большинства доменов DarkGate составляет от 50 до 60 дней, что может указывать на преднамеренный подход, при котором субъекты угрозы создают и меняют домены с определенными интервалами".
Также были обнаружены фишинговые кампании, нацеленные на гостиничный сектор с помощью электронных сообщений, связанных с бронированием, для распространения вредоносных программ-похитителей информации, таких как RedLine Stealer или Vidar Stealer, согласно Sophos.
"Первоначально они связываются с целью по электронной почте, которая не содержит ничего, кроме текста, но имеет тематику, на которую бизнес, ориентированный на обслуживание (например, отель), захотел бы быстро отреагировать", - сказали исследователи Эндрю Брандт и Шон Галлахер.
"Только после того, как цель ответит на первоначальное электронное письмо субъекта угрозы, субъект угрозы отправляет последующее сообщение, в котором, как они утверждают, содержится подробная информация об их запросе или жалобе".
Несмотря на кражи и троянские программы, фишинговые атаки принимают форму поддельных электронных писем Instagram с "нарушением авторских прав" для кражи резервных кодов двухфакторной аутентификации (2FA) пользователей через мошеннические веб-страницы с целью обхода защиты учетных записей, схема называется Insta-Phish-A-Gram.
"Данные, которые злоумышленники получают в результате такого рода фишинговых атак, могут быть проданы подпольно или использованы для захвата аккаунта", - заявили в фирме по кибербезопасности.
