AgentTesla 掀起攻击全球各地企业的浪潮

CIOAge
大量带有恶意附件的电子邮件发送到南美洲与欧洲的企业,攻击者正在利用 AgentTesla 发起攻击。

AgentTesla 掀起攻击全球各地企业的浪潮

大量带有恶意附件的电子邮件发送到南美洲与欧洲的企业。从 2022 年 8 月 12 日开始针对西班牙、葡萄牙、罗马尼亚和南美洲多个国家的企业进行发送,后续针对德国与阿根廷的企业发起了更大规模的攻击,迄今为止已经发送了超过 26000 封邮件。

感染链

攻击者向大量的企业邮箱发送钓鱼邮件。电子邮件有一行文字:“Get Outlook for Android”,该文字会根据攻击目标的位置进行本地化。例如 .de 电子邮件地址的受害者会收到德语电子邮件。电子邮件的主题与附件也都是以不同的语言进行命名的,例如 Draft Contract。

image.png-61.9kB

钓鱼邮件

附件通常是一个 .IMG 或者 .ISO 文件,附件中会包含一个 CHM 文件,名为“草稿合同”。打开该文件后,会弹出如下的窗口:

image.png-41.5kB

CHM 文件

该文件包含混淆的 JavaScript 代码,会启动如下所示的 PowerShell 命令来下载最终 Payload:

image.png-93.1kB

PowerShell 代码

最终的 Payload 伪装成 JPG 文件从看起来合法的网站下载,这也是为了规避检测与分析。最终的 Payload 是一个 PowerShell 脚本,用于释放并运行 AgentTesla 恶意软件。

AgentTesla 是窃密软件,可以:

  • 从浏览器、电子邮件客户端、VPN 客户端、FTP 客户端、剪贴板中窃取密码
  • 获取用户按键记录
  • 获取屏幕截图
  • 窃取计算机相关信息
  • 下载其他恶意软件

本次攻击行动的攻击者主要进行窃密,并且收集例如用户名、计算机名称、操作系统、CPU 和 RAM 等失陷主机相关信息。AgentTesla 伪装成 InstallUtil.exe 可执行文件中的注入代码,执行后会将收集的数据回传到攻击者的 FTP 服务器。

image.png-32.8kB

感染链

感染链如上所示,FTP 服务器未加密。所有攻击相关的内容都存储在 FTP 服务器上,其中包含大量的文件,攻击者大约每小时取走并删除这些文件一次。

image.png-143.2kB

FTP 服务器

影响

攻击行动从 2022 年 8 月 12 日开始,针对南美洲国家、西班牙、葡萄牙和罗马尼亚进行大规模攻击,针对意大利和法国也有小范围攻击。

2022 年 8 月 16 日开始,针对德国的攻击持续了两天。2022 年 8 月 18 日,攻击阿根廷的企业只持续了几个小时。最后观察到的攻击是针对瑞士的,在 2022 年 8 月 23 日的早晨。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2022-02-18 18:22:53

智慧城市

2014-08-14 10:12:12

云计算智能硬件

2009-12-30 17:42:31

2020-11-25 15:44:02

网络安全数字化转型工具

2010-05-06 11:00:05

2013-09-27 16:53:53

RIIL业务监控

2011-08-16 09:49:44

云计算IDC

2013-10-28 16:49:20

手游出海移动游戏

2021-06-01 10:42:10

网络攻击恶意软件网络安全

2021-10-29 19:30:39

供应链攻击网络攻击网络安全

2023-11-08 07:55:48

2019-02-19 15:50:29

华为云

2012-03-24 13:55:03

飞视美视频会议

2013-01-14 11:15:53

云ERPERP云计算

2016-12-16 07:32:39

微应用

2009-08-13 14:49:28

2013-07-19 09:07:28

2017-03-11 17:15:20

机器人网络带宽

2023-02-28 13:34:56

51CTO技术栈公众号