6年历史的Office 漏洞被攻击者利用传播间谍软件

根据Dark Reading网站的报道，黑客正在利用一个已存在6年的微软Office远程代码执行（RCE）漏洞，通过在电子邮件中附带恶意Excel文件的方式传播间谍软件。

尽管这个漏洞早在2017年被披露，但最早的恶意利用可追溯到2014年，攻击者的最终目标是通过加载Agent Tesla这一远程访问木马（RAT）和高级键盘记录器，在电子邮件中携带Agent Tesla，将窃取的数据发送到由攻击者控制的Telegram机器人。尽管已经存在了10年之久，但Agent Tesla仍然是攻击者常用的工具，可用于执行剪贴板记录、键盘记录、屏幕捕获以及提取各种Web浏览器存储的密码等功能。

这种感染活动的始作俑者利用了社会工程学，通过电子邮件传播带有恶意Excel附件的恶意代码。邮件的主题通常包含"订单"、"发票"等字眼，并强调紧急性，要求接收方立即回复。一旦用户受到诱导并打开了恶意Excel附件，攻击就会以不寻常的方式展开。它使用易受攻击版本的电子表格应用程序打开附件，然后与恶意目标进行通信。恶意目标会传送附加文件，其中包括一个高度混淆的VBS文件，使用长达100个字符的变量名称，以增加分析和解混淆的难度。

在进一步的攻击中，这个混淆的VBS文件会逐步下载恶意的JPG文件。接着，VBS文件执行一个PowerShell可执行文件，该文件从图片文件中提取Base64编码的DLL，并加载解码后的DLL中的恶意程序。这一系列步骤旨在增加攻击的复杂性和混淆性，以躲避检测和分析。

恶意通信和附加文件下载

PowerShell 加载后，还有另一种新颖的策略——执行 RegAsm.exe 文件，该文件的主要功能通常与注册表读写操作相关，目的是在真实操作的幌子下进行恶意活动。在此，DLL 获取 Agent Tesla 负载并将线程注入 RegAsm 进程。

一旦部署成功，间谍软件就会从大量浏览器、邮件客户端和 FTP 应用程序中窃取数据，并还尝试部署键盘和剪贴板挂钩来监视所有击键并捕获用户复制的数据。

目前这种攻击方式的独特之处在于，它将长期存在的漏洞与新的复杂规避策略结合在一起，展示了攻击者在感染方法方面较强的适应性。为此，Zscaler 高级工程师安全研究员 Kaivalya Khursale 指出：“组织必须及时了解不断变化的网络威胁，以保护其数字环境。”

原文始发于微信公众号（信息安全大事件）：6年历史的Office 漏洞被攻击者利用传播间谍软件