AgentTesla 掀起攻击全球各地企业的浪潮

admin
admin
admin
138909
文章
114
评论
2022年10月7日21:18:56评论73 views字数 1371阅读4分34秒阅读模式
大量带有恶意附件的电子邮件发送到南美洲与欧洲的企业。从 2022 年 8 月 12 日开始针对西班牙、葡萄牙、罗马尼亚和南美洲多个国家的企业进行发送,后续针对德国与阿根廷的企业发起了更大规模的攻击,迄今为止已经发送了超过 26000 封邮件。

感染链

攻击者向大量的企业邮箱发送钓鱼邮件。电子邮件有一行文字:“Get Outlook for Android”,该文字会根据攻击目标的位置进行本地化。例如 .de 电子邮件地址的受害者会收到德语电子邮件。电子邮件的主题与附件也都是以不同的语言进行命名的,例如 Draft Contract


AgentTesla 掀起攻击全球各地企业的浪潮【钓鱼邮件】

附件通常是一个 .IMG 或者 .ISO 文件,附件中会包含一个 CHM 文件,名为“草稿合同”。打开该文件后,会弹出如下的窗口:

AgentTesla 掀起攻击全球各地企业的浪潮【CHM 文件】

该文件包含混淆的 JavaScript 代码,会启动如下所示的 PowerShell 命令来下载最终 Payload:

AgentTesla 掀起攻击全球各地企业的浪潮【PowerShell 代码】

最终的 Payload 伪装成 JPG 文件从看起来合法的网站下载,这也是为了规避检测与分析。最终的 Payload 是一个 PowerShell 脚本,用于释放并运行 AgentTesla 恶意软件。

AgentTesla 是窃密软件,可以:
从浏览器、电子邮件客户端、VPN 客户端、FTP 客户端、剪贴板中窃取密码
获取用户按键记录
获取屏幕截图
窃取计算机相关信息
下载其他恶意软件

本次攻击行动的攻击者主要进行窃密,并且收集例如用户名、计算机名称、操作系统、CPU 和 RAM 等失陷主机相关信息。AgentTesla 伪装成 InstallUtil.exe 可执行文件中的注入代码,执行后会将收集的数据回传到攻击者的 FTP 服务器。

AgentTesla 掀起攻击全球各地企业的浪潮【感染链】

感染链如上所示,FTP 服务器未加密。所有攻击相关的内容都存储在 FTP 服务器上,其中包含大量的文件,攻击者大约每小时取走并删除这些文件一次。

AgentTesla 掀起攻击全球各地企业的浪潮【FTP 服务器】


影响

攻击行动从 2022 年 8 月 12 日开始,针对南美洲国家、西班牙、葡萄牙和罗马尼亚进行大规模攻击,针对意大利和法国也有小范围攻击。

2022 年 8 月 16 日开始,针对德国的攻击持续了两天。2022 年 8 月 18 日,攻击阿根廷的企业只持续了几个小时。最后观察到的攻击是针对瑞士的,在 2022 年 8 月 23 日的早晨。


IOC

83fe51953a0fe44389e197244faf90afe8ee80101dc33cb294cf6ef710e5aaba
76f707afa3d4b2678aa5af270ea9325de6f8fdc4badf7249418e785438f1b8da
eb455ffb1595d1a06fc850ebc49b270ae84dd609e7b52144a60bb45cf4c4eb0e
ftp.akmokykla[.]lt
assltextile[.]com/Su34M.jpg
consult-mob[.]ro/M777.jpg
handcosalon[.]com/Su57.jpg


参考来源:

https://decoded.avast.io/pavelnovak/agenttesla-is-threatening-businesses-around-the-world-with-a-new-campaign/
AgentTesla 掀起攻击全球各地企业的浪潮



精彩推荐








AgentTesla 掀起攻击全球各地企业的浪潮AgentTesla 掀起攻击全球各地企业的浪潮AgentTesla 掀起攻击全球各地企业的浪潮AgentTesla 掀起攻击全球各地企业的浪潮

原文始发于微信公众号(FreeBuf):AgentTesla 掀起攻击全球各地企业的浪潮

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月7日21:18:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   AgentTesla 掀起攻击全球各地企业的浪潮http://cn-sec.com/archives/1335500.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息