安全人員轉(zhuǎn)存了Agent Tesla惡意軟件的數(shù)據(jù)
總部位于洛杉磯的安全公司Resecurity和網(wǎng)絡(luò)威脅情報(bào)部門(mén)、研發(fā)部門(mén)、白帽獵人,一起排除了Agent Tesla C&C中繼站通信(C2)的干擾,并且提取了超過(guò)950GB的日志信息,其中包括泄露的互聯(lián)網(wǎng)用戶憑證、文件和其他被惡意代碼竊取的用戶敏感數(shù)據(jù)。
這些收集到的數(shù)據(jù)將不僅有助于有關(guān)部門(mén)排查受害者,挽回?cái)?shù)據(jù)泄露造成的損失,同時(shí)也可以挖掘使用Agent Tesla惡意軟件的不法分子的活動(dòng)時(shí)間表和分布區(qū)域。據(jù)悉,受害者來(lái)自全球各個(gè)地方,包括美國(guó)、加拿大、意大利、德國(guó)、西班牙、墨西哥、哥倫比亞、智利、巴西、新加坡、韓國(guó)、馬來(lái)西亞、日本、埃及、阿拉伯聯(lián)合酋長(zhǎng)國(guó)(UAE)、科威特、沙特阿拉伯王國(guó)(KSA)、海灣地區(qū)以及其他國(guó)家。
公開(kāi)資料顯示,Agent Tesla是全球知名的惡意軟件之一,在多次數(shù)據(jù)泄露事件中都有它的身影。而此次數(shù)據(jù)提取操作匯聚了Resecurity安全公司,歐盟、中東和北美等地區(qū)的執(zhí)法部門(mén),和幾家大的互聯(lián)網(wǎng)公司才得以成功。
Agent Tesla惡意軟件首次被發(fā)現(xiàn)于2014年,時(shí)至今日,它仍然是流行的遠(yuǎn)程訪問(wèn)木馬(RAT)工具。網(wǎng)絡(luò)攻擊者曾用它來(lái)竊取用戶電腦上的各種信息,例如網(wǎng)絡(luò)證書(shū)、鍵盤(pán)記錄、剪切板記錄以及其它想要獲取的信息,并以此獲利。
不論是網(wǎng)絡(luò)犯罪組織還是活躍的不法分子,選擇RAT的原因不外乎是它的穩(wěn)定性、靈活性和強(qiáng)大的功能,可以讓他們輕而易舉地獲取用戶的敏感數(shù)據(jù),并清理入侵痕跡,全身而退。
需要注意的是,Agent Tesla所獲取的證書(shū)和數(shù)據(jù)大多數(shù)都是來(lái)自于金融服務(wù),電商,政府系統(tǒng)以及個(gè)人或商業(yè)電子郵件有關(guān)。
研究人員曾發(fā)現(xiàn)了Agent Tesla惡意軟件的活躍實(shí)例,并針對(duì)性地開(kāi)發(fā)了一種機(jī)制,以此來(lái)發(fā)現(xiàn)受到它影響的客戶端并提取出那些被泄露的數(shù)據(jù)。為了鼓勵(lì)安全人員更好地對(duì)抗Agent Tesla惡意軟件,Resecurity公司的白帽獵人做了一個(gè)分享視頻,向大家展示了如何將NET反向工程和反混淆技術(shù)應(yīng)用于 Agent Tesla 的分析。
Resecurity公司的威脅研究人員Ahmed Elmalky則表示:“一旦成功追蹤到Agent Tesla的活動(dòng),那么全球范圍內(nèi)受此困擾的受害者和可能存在的網(wǎng)絡(luò)威脅行為都能得到緩解。某種程度上,我們已經(jīng)看到了一些非常清晰的網(wǎng)絡(luò)犯罪模式,但是,我們也看到了,那些在特定國(guó)家開(kāi)展活動(dòng)的不法分子依舊在使用這種網(wǎng)絡(luò)攻擊工具,原因是它可以地下黑客社區(qū)使用。”
根據(jù)多家網(wǎng)絡(luò)安全公司研究員和Agent Tesla惡意軟件跟蹤研究者的說(shuō)法,RAT依舊會(huì)對(duì)微軟Windows 環(huán)境產(chǎn)生持續(xù)性的威脅,它入侵的方式主要是通過(guò)發(fā)送惡意電子郵件來(lái)實(shí)現(xiàn)。
在最近的更新中,Agent Tesla再一次將目標(biāo)瞄準(zhǔn)了微軟內(nèi)置的反惡意軟件掃描接口(ASMI),以此更好地逃避微軟系統(tǒng)的檢測(cè),同時(shí)還會(huì)使用一種復(fù)雜的機(jī)制來(lái)傳輸竊取的數(shù)據(jù)。
例如在去年,Agent Tesla就曾被用于石油和天然氣行業(yè)的高針對(duì)性活動(dòng)。在一場(chǎng)競(jìng)選活動(dòng)中,網(wǎng)絡(luò)攻擊者冒充了一個(gè)著名的埃及工程承包商參與陸地和海上的項(xiàng)目(Enppi-石油制造工業(yè)工程),并借此針對(duì)馬來(lái)西亞、美國(guó)、伊朗、南非、阿曼和土耳其的能源行業(yè)發(fā)起攻擊。
他們還冒充東南亞某物流集團(tuán)公司,利用相關(guān)的化學(xué)品/油輪的合法信息發(fā)送釣魚(yú)郵件,使惡意電子郵件發(fā)送給特定的用戶時(shí)變得更可信。
因此,有安全專(zhuān)家表示,用戶在使用電子郵件時(shí)一定要小心,尤其是在處理附件的時(shí)候,因?yàn)锳gent Tesla經(jīng)常通過(guò)電子郵件附件挾帶為感染途徑。
文章來(lái)源:
https://securityaffairs.co/wordpress/123039/malware/agent-tesla-c2c-dumped.html