Поделиться
Старинную уязвимость в Excel теперь используют для распространения нового продвинутого трояна
Продвинутый троянец Agent Tesla теперь распространяется через хитрую комбинацию, включающую использование «бага» шестилетней давности в Excel и стеганографии.
Точка входа для агента
Старая уязвимость, затрагивающая Microsoft Office, теперь используется киберзлоумышленниками для распространения вредоноса под названием Agent Tesla.
Атака начинается с отправки потенциальной жертве «маскировочных» документов Excel (обычно это какой-нибудь мнимый инвойс). При открытии встроенный вредоносный модуль эксплуатирует уязвимость CVE-2017-11882 - 7,8-балльный «баг» редакторе уравнений MS Office, вызывающий нарушение целостности памяти. Уязвимость позволяет запускать вредоносный код с привилегиями текущего пользователя.
Встроенный в документ вредонос устанавливает соединение с внешним ресурсом под контролем злоумышленников и выкачивает оттуда дополнительные файлы. Содействие конечного пользователя в этом не требуется вовсе.
Первым скачивается скрипт, написанный на Visual Basic, который, в свою очередь, инициирует загрузку JPG-изображения с вшитым в него DLL-файлом, закодированным по протоколу Base64. Такая стеганографическая тактика позволяет снизить обнаруживаемость, причём довольно основательно.
DLL внедряется в системный файл Regasm.exe (средство регистрации сборок), и используется для запуска финального звена в цепочки заражения - Agent Tesla.
Этот вредонос представляет собой продвинутый кейлоггер и троянец удаленного доступа, написанный на .NET. Его назначение - выуживать значимую информацию из скомпрометированных устройств и передавать на удаленный сервер.
Старость - в радость
«Исправления для уязвимостей в популярном ПО обыкновенно выходят через очень непродолжительный промежуток времени после их обнаружения, так что первые четыре цифры индекса CVE - это и год обнаружения, и год устранения», - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. По его словам, если сейчас идёт успешная эксплуатация уязвимостей 2017-2020 гг., значит за прошедшие три-шесть лет у администраторов пострадавших организаций не нашлось времени их исправить. «И это всё равно, что оставлять открытой форточку на первом этаже в районе, где заведомо известно о повышенном уровне криминала. Ни окно само собой не закроется, ни уязвимость не устареет настолько, чтобы никому не пришло бы в голову её задействовать», - подытожил Михаил Зайцев.
Как отмечает издание The Hacker News, за последнее время это уже не первый случай, когда киберзлоумышленники прицельного используют старые уязвимости для осуществления атак. Из последних примеров - это использование «бага» в Oracle WebLogic Server (СVE-2020-14883, 7,2 балла по шкале угроз CVSS). Участники группировки 8220 Gang эксплуатируют эту уязвимость для распространения криптомайнеров.
Отмечается также, что вышеупомянутый Regasm.exe использовался для подгрузки DLL при распространении вредоноса Quasar RAT.
Короткая ссылка
