セキュリティ研究者は、セキュリティソリューションを回避する目的で、よく知られたエクスプロイトを含む新しい悪意のある攻撃を発見しました. キャンペーンは情報スティーラーを広めています, または洗練されたスパイウェアの断片. すなわち, 攻撃者は、エージェントテスラと呼ばれる高度な情報を盗むトロイの木馬を広めています, だけでなく、ロキ情報スティーラー.
エージェントテスラ悪意のあるキャンペーン – 8月の更新 2019
新しいデータによると, AgentTeslaマルウェアは 現在ステガノグラフィを採用しています 最新のマルスパムキャンペーンで. ステガノグラフィは、ファイルを隠す方法です。, メッセージ, 画像, または別のファイル内のビデオ, メッセージ, 画像, またはビデオ. 実際には, ステガノグラフィはマルウェア配布の古いトリックです, 文字通り、通常の画像内にコードを隠すことを意味しますが、ほとんどの場合、マルウェアはチェックされません。.
高度な攻撃に関する技術的な詳細, AV検出の回避
CiscoTalosのセキュリティ研究者 検出されました 「「一般的なウイルス対策ソリューションでは検出されなかった非常に疑わしいドキュメント」.
この新しい形式の攻撃の背後にいる攻撃者は、よく知られたエクスプロイトチェーンを展開しました. でも, セキュリティソリューションで検出されないように変更されています.
The エージェントテスラトロイの木馬 いくつかのソフトウェアからログイン情報を盗むように設計されています, GoogleChromeなど, Mozilla Firefox, Microsoft Outlook, とりわけ. トロイの木馬はスクリーンショットをキャプチャすることもできます, ウェブカメラを記録する, 攻撃者が感染したシステムに追加のマルウェアをインストールできるようにします, 研究者は言った.
このトロイの木馬は、キーボード入力の監視や収集など、他の悪意のあるアクティビティを実行することもできます。, システムクリップボード, スクリーンショットを撮る, 収集した機密情報を盗み出す. でも, このキャンペーンで配布されたマルウェアはエージェントテスラだけではありません– ロキ, 別の情報スティーラー, 被害者のマシンにもドロップされます.
悪用された2つのMicrosoftWordエクスプロイト: CVE-2017-0199およびCVE-2017-11882
敵対者が使用するエクスプロイトについて – MicrosoftWordの脆弱性に対する2つの公開エクスプロイト CVE-2017-0199 と CVE-2017-11882 悪意のある攻撃シナリオで使用されます.
CVE-2017-0199エクスプロイト, 特に, だった の攻撃で使用 2017 脅威の攻撃者がMicrosoftOfficeファイルを悪用していくつかのマルウェア株を配信したとき. インシデントのユニークな点は、昨年MicrosoftOfficeスイートに統合された比較的新しい機能を利用して新しい戦略を使用したことです。.
CVE-2017-11882は、今年9月に悪意のあるキャンペーンで検出されたもう1つの有名なMicrosoftOfficeエクスプロイトです。, 配信していた CobIntトロイの木馬.
.DOCXファイルとRTFファイル
現在のキャンペーン, CiscoTalosによって発見および分析されました, 悪意のあるMicrosoftのダウンロードから始まります .DOCXファイル. ファイルには、特定のダウンロードの手順が含まれています RTFファイル ドキュメントから. これは、ウイルス対策製品では検出されないアクティビティです。.
研究者によると:
ファイルが分析されたとき, マルチエンジンのウイルス対策スキャンWebサイトVirusTotalではほとんど検出されませんでした. そのうち2つだけ 58 ウイルス対策プログラムが疑わしいものを見つけました. このサンプルにフラグを付けたプログラムは、誤ってフォーマットされたRTFファイルについてのみ警告していました。.
リッチテキスト形式, または略してRTF, は、MicrosoftCorporationによって開発された公開仕様の独自のドキュメントファイル形式です。 1987 それまで 2008 Microsoft製品とのクロスプラットフォームドキュメント交換用.
RTFファイルはマクロ言語をサポートしていません, ただし、Microsoft Object LinkingandEmbeddingはサポートしています。 (OLE) 'objectを介したオブジェクトおよびMacintoshEditionManagerサブスクライバオブジェクト’ コントロールワード. ユーザーは、同じ形式または異なる形式のオブジェクトをRTFドキュメントにリンクまたは埋め込むことができます.
言い換えると, ユーザーがオブジェクトをRTFファイルにリンクまたは埋め込むことができます, ただし、難読化を追加する必要があります. また、RTFファイルが認識しないものは通常無視されることにも注意してください。.
研究者は、攻撃者がエクスプロイトを手動で変更した方法を完全に理解できませんでした, または、ツールを使用してシェルコードを生成した場合. “どちらにしても, これは、アクターまたはそのツールが持っていることを示しています [the] 結果のオペコードバイトが完全に異なるように見えるようにアセンブラコードを変更する機能, しかし、それでも同じ脆弱性を悪用します.”
セキュリティの専門家は、この新しい手法が他の種類のマルウェアを配信する他の悪意のあるキャンペーンに含まれることも期待しています。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: