攻擊者利用Microsoft Office文件傳播Agent Tesla 和njRat。

研究人員最近發現了一些惡意的Microsoft Office文件,這些文件試圖利用合法網站MediaFire和Blogger執行shell腳本,然後釋放Agent Tesla和njRat的兩個惡意變體。

Agent Tesla是一款著名的監視軟件,首次發現於2014年,它可以從web瀏覽器、郵件客戶端和FTP服務器中竊取個人數據,收集屏幕截圖和視頻,並收集剪貼板數據。

njRat《也稱為Bladabindi》是2013年首次發現的遠程代理木馬,能夠遠程控制受害者的設備,記錄擊鍵、訪問攝像頭、竊取瀏覽器中存儲的憑據、上傳/下載文件、操作註冊表等。

·受影響的平臺:Microsoft Windows

·受影響方:Windows用戶

·影響:控制和收集受害者設備中的敏感信息

·嚴重級別:嚴重

在本文中,我們將詳細介紹我們發現的文件、它們用於傳播有效負載的嵌入腳本,以及這些惡意軟件變體的行為。

攻擊者利用Microsoft Office文件傳播Agent Tesla 和njRat。
第1階段

在2022年9月,研究人員發現了兩種文件。

一個是PowerPoint加載項,另一個是包含誘餌圖片和嵌入Excel表單的Word文件。

這兩個文件都包含類似的VBA腳本,在打開文件後立即執行宏。

根據PPT插件中的VBA腳本《如上圖所示》,代碼會自動觸發,因為它使用了『Auto_Open()』函數。

其『ControlTipText』和『Tag』字段包含完整的命令 『mshta』 和MediaFire URL。

我們可以在 『vbaProject.bin』中看到完整的URL。

PPT加載項中的VBA宏

vbaProject.bin文件中完整的惡意URL

攻擊者利用Microsoft Office文件傳播Agent Tesla 和njRat。
第2階段

從下圖所示的Process Explorer中可以看到,『mshta』進程在點擊文件中的『Enable Macros』後立即啟動。

這導致了MediaFire網站,這是一個合法的文件和圖片共享平臺。

點擊『Enable Macros』後的Process Explorer

以下是第一階段VBA宏中『1.htm』的內容:

從MediaFire下載的『1.htm』

下圖顯示了將一些十六進制字符串轉換為ascii字符串後的更清晰的圖片。

轉換後的『1.htm』

這個HTML文件有三個主要任務:

1.從MediaFire網站傳送第三階段腳本文件;

2.終止任務WINWORD.EXE;

3.通過創建計劃任務添加持久性。

它使用『mshta』連接到『http[:]//www.webclientservices.co[.]uk/p/1[.]html』網站,該網站每73分鐘包含一個類似的腳本。

以下是2022年9月的博客截圖:

9月中旬www[.webclientservices[.co[.uk/p/1[.html]網頁

研究人員還發現,『www[.]webclientservices[.]co[.]uk』中的1.html文件已更新並重命名為『real all BACK SEP 2022』。

嵌入式JavaScript也被修改了,現在可以發佈其他惡意軟件。

9月底發現的www[.]webclientservices[.]co[.]uk/p/1[.]html更新頁面

攻擊者利用Microsoft Office文件傳播Agent Tesla 和njRat。
第3階段

『1.txt』中的PowerShell腳本是從MediaFire下載的,它通過進程空心化技術提供最終有效負載。

它首先終止所有相關進程,並對加載程序和有效負載進行解碼。

然後它調用最終有效載荷並部署它,繞過AMSI。

主要惡意軟件和部分代碼被編碼並替換為字符串,以增加分析的難度。

用於加載代理特斯拉的PowerShell的全圖

執行PowerShell後的Process Explorer

在『Load Agent Tesla Payload』過程的第二部分中,變量$CLE11和$RNBX1是更換一些字符串後的最終有效負載和加載器。

基於.NET的不同版本,它自定義了繼續進行進程空心化活動的路徑:

$Path = ‘C:\Windows\Microsoft.NET\Framework\v4.0.30319\jsc.exe’

$Path2 = ‘C:\Windows\Microsoft.NET\Framework\v2.0.50727\caspol.exe’

$Path3 = ‘C:\Windows\Microsoft.NET\Framework\v3.5\Msbuild.exe

[Ref]/Assembly::Load((HexaToByte($RNBX1))).GetType(‘CALC’.PAYSIAS’.’GetMethod'(Execute).Invoke($null,[object[]] ($Path,HexaToByte($CLE11)));

研究人員將$RNBX1保存為可執行文件,並用dnSpy打開它。

目標類和方法如下圖所示。

此.Net加載器利用一些模糊處理來隱藏主要API《CreateProcess、VirtualAllocEx…等》。

Net Loader

研究人員找到了目標進程『jsc.ex』、『caspol.exe』和『Msbuild.exe』,它們在受害者的設備中安靜運行。

詳細信息如下圖所示。

流程空心化時的Process Explorer

在PowerShell部分的末尾,它禁用了日志記錄,並通過打補丁繞過AMSI。

詳細步驟如下所示。

繞過PowerShell中的AMSI

攻擊者利用Microsoft Office文件傳播Agent Tesla 和njRat。
最後階段《第一部分》

第一個惡意軟件負載是Agent Tesla。

這種變體在9月中旬開始傳播。

它包括合法的文件信息,『NirSoft』公司的『Web瀏覽器密碼查看器』,並使用FTP發送被盜數據。

Agent Tesla的基本信息

下圖是用於傳輸提取數據的攻擊者FTP服務器信息的屏幕截圖,包括用戶名和密碼。

此變體還將自身復制到%appdata%目錄中,文件名為『NGCwje.exe』以進行持久化。

攻擊者的服務器信息

然後,它開始提取受害者設備的信息,例如基板的序列號、處理器ID和MAC地址。

然後,它為該數據生成一個MD5哈希。

為受害設備的信息生成Md5哈希

Agent Tesla使用一個典型的應用程序列表來竊取登錄憑據、Cookie、郵件信息和VPN數據。

這些項目的一部分如下圖所示:

目標瀏覽器應用程序列表

一旦惡意軟件從受害者的設備檢索到憑證和其他信息,它通過使用硬編碼IP的FTP協議發送這些數據。

使用FTP協議

從受害者設備捕獲的流量

根據遇到的不同類型的文件,它使用四種打開字符串:『CO』表示cookie數據,『KL』表示鍵盤記錄,『PW』表示受害者的密碼信息,『SC』表示屏幕截圖文件。

惡意軟件使用下劃線將數據類型、用戶名、設備名稱和時間戳連接在一起,作為數據ZIP文件的文件名。

被盜zip文件列表如下所示:

FTP服務器上Zip文件的部分列表

攻擊者利用Microsoft Office文件傳播Agent Tesla 和njRat。
最後階段《第二部分》

第二個有效載荷是njRat,也稱為Bladabindi。

它是一個.NET特洛伊木馬,用於控制和監控受害者的設備。

此變體對其字符串生成和代碼流使用模糊處理。

從方法ko()的IDA圖形概覽中,你可以看到這個變體更復雜,但你仍然可以識別類似的函數。

IDA圖概述

njRat的入口點

字符串解碼功能

首先,它在『Startup』和『Templates』文件夾中創建lnk和exe文件,文件名為『Windows』。

這個名字用來欺騙用戶和分析師,讓他們認為它是合法的Windows文件。

創建持久性

然後,它以相反的順序獲取命令和控制服務器主機名和端口號。

命令和控制服務器信息

為了確保此惡意軟件隻在此受害者上運行一次,它添加了名為『di』 、數據為 『!』的『HKEY_CURRENT_USER』。

添加到『HKEY_CURRENT_USER』中的註冊表

註冊表狀態

它還創建了一個帶有字符串『Windows』的互斥鎖,將環境變量『SEE_MASK_NOZONECHECKS』設置為1,並檢查此互斥鎖是否以前創建過。

如果是,則結束該過程。

創建互斥鎖

設置環境變量

如下圖所示,收集設備信息後,它使用base64對其進行編碼並連接數據。

然後,它使用硬編碼的TCP端口7575將數據傳輸到服務器『mobnew6565[.]duckdns[.]org』。

連接數據

以下是Win10受害者設備的C2流量。

分隔符更改為『|-F-|』,版本為『v4.0』,但數據包的格式類似於舊的njRat版本:

從受害者處捕獲的流量

除了Agent Tesla和njRat,研究人員還在更新的HTML文件『www.webclientservices.co[.]uk/p/1[.]HTML』中找到了一個簡短的腳本,該文件將挖礦軟件下載到『C:\\ProgramData』。

這是一種奇怪的行為,因為此攻擊鏈中的每個步驟都試圖在受害者的設備上不留下任何物理跟蹤或文件。

研究人員認為這可能會分散受害者的注意力,以免他們注意到另一個進程正在加載njRat。

下載挖礦軟件的JavaScript

njRat和miner的Process Explorer視圖

攻擊者利用Microsoft Office文件傳播Agent Tesla 和njRat。
總結

Agent Tesla和njRat多年來都是高度活躍的惡意軟件。

它們的功能成熟,易於用於監視或竊取信息。

如上所述,惡意URL不斷更新其嵌入的JavaScript,這意味著這些釣魚電子郵件和誘騙辦公室文件始終是傳播此惡意軟件的有效方式。

網站中嵌入的所有VBA宏、PowerShell和JavaScript代碼都可以部署無文件攻擊,也可以通過混淆或編碼字符串來逃避一些病毒檢測。

用戶應始終警惕任何包含外部網站鏈接的辦公室文件或未知文件。

攻擊流程

參考及來源:https://www.fortinet.com/blog/threat-research/leveraging-microsoft-office-documents-to-deliver-agent-tesla-and-njrat