แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ MS Excel เก่าเพื่อแพร่กระจายมัลแวร์ Tesla

โจมตีกำลังติดอาวุธให้กับช่องโหว่ Microsoft Office เก่า โดยเป็นส่วนหนึ่งของแคมเปญฟิชชิ่งเพื่อกระจายสายพันธุ์มัลแวร์ที่เรียกว่า Agent Tesla

กลุ่มการติดไวรัสใช้ประโยชน์จากเอกสาร Excel ล่อที่แนบมาในข้อความที่มีธีมใบแจ้งหนี้เพื่อหลอกให้เป้าหมายที่เป็นไปได้เปิดข้อความเหล่านั้นและเปิดใช้งานการใช้ประโยชน์จาก CVE-2017-11882 (คะแนน CVSS: 7.8) ซึ่งเป็นช่องโหว่ความเสียหายของหน่วยความจำใน Office’s Equation Editor ที่ อาจส่งผลให้เกิดการรันโค้ดด้วยสิทธิ์ของผู้ใช้

การค้นพบนี้มาจาก Zscaler ThreatLabz สร้างขึ้นจากรายงานก่อนหน้านี้จาก Fortinet FortiGuard Labs ซึ่งมีรายละเอียด แคมเปญฟิชชิ่งที่คล้ายกัน ที่ใช้ประโยชน์จาก ข้อบกพร่องด้านความปลอดภัยเพื่อส่งมัลแวร์

“เมื่อผู้ใช้ดาวน์โหลดไฟล์แนบที่เป็นอันตรายและเปิดขึ้นมา หากเวอร์ชันของ Microsoft Excel มีช่องโหว่ ไฟล์ Excel จะเริ่มต้นการสื่อสารกับปลายทางที่เป็นอันตราย และดำเนินการดาวน์โหลดไฟล์เพิ่มเติมโดยไม่ต้องให้ผู้ใช้โต้ตอบใดๆ เพิ่มเติม”นักวิจัยด้านความปลอดภัย Kaivalya Khursale กล่าว

เพย์โหลดแรกคือสคริปต์ Visual Basic ที่สร้างความสับสน ซึ่งเริ่มต้นการดาวน์โหลดไฟล์ JPG ที่เป็นอันตรายซึ่งมาพร้อมกับไฟล์ DLL ที่เข้ารหัส Base64 ก่อนหน้านี้กลยุทธ์การหลบเลี่ยงอุบายอุบายนี้เคยมีรายละเอียดโดย McAfee Labs ในเดือนกันยายน 2023 มาก่อน

DLL ที่ซ่อนอยู่จะถูกฉีดเข้าไปใน RegAsm.exe ซึ่งเป็นเครื่องมือการลงทะเบียน Windows Assembly ในเวลาต่อมา เพื่อเปิดใช้เพย์โหลดสุดท้าย เป็นที่น่าสังเกตว่าไฟล์ปฏิบัติการนั้นเคยถูกใช้ในทางที่ผิดเพื่อ โหลด Quasar RAT ในอดีต

Agent Tesla คือคีย์ล็อกเกอร์ขั้นสูงที่ใช้ .NET และโทรจันการเข้าถึงระยะไกล (RAT) ที่ติดตั้งเพื่อรวบรวมข้อมูลที่ละเอียดอ่อนจากโฮสต์ที่ถูกบุกรุก จากนั้นมัลแวร์จะสื่อสารกับเซิร์ฟเวอร์ระยะไกลเพื่อแยกข้อมูลที่รวบรวมไว้

“ผู้คุกคามปรับวิธีการติดไวรัสอยู่ตลอดเวลา ทำให้องค์กรต่างๆ ต้องติดตามข่าวสารล่าสุดเกี่ยวกับภัยคุกคามทางไซเบอร์ที่พัฒนาขึ้นเพื่อปกป้องภูมิทัศน์ดิจิทัลของตน” คูร์เซลกล่าวว่า

การพัฒนาเกิดขึ้นเมื่อข้อบกพร่องด้านความปลอดภัยเก่ากลายเป็นเป้าหมายการโจมตีใหม่สำหรับผู้คุกคาม เมื่อต้นสัปดาห์ที่ผ่านมา Imperva เปิดเผย ว่าข้อบกพร่องที่มีมาสามปีใน Oracle WebLogic Server (CVE-2020-14883, คะแนน CVSS: 7.2) กำลังเกิดขึ้น ใช้โดยแก๊ง 8220 เพื่อส่งมอบนักขุดสกุลเงินดิจิทัล

ยังเกิดขึ้นพร้อมกับการเพิ่มขึ้นของกิจกรรมมัลแวร์ DarkGate หลังจากที่เริ่มมีการโฆษณาเมื่อต้นปีนี้ว่าเป็นมัลแวร์แบบ as-a- ข้อเสนอบริการ (MaaS) และทดแทน QakBot หลังจากลบออกในเดือนสิงหาคม 2023

“ภาคเทคโนโลยีได้รับผลกระทบมากที่สุดจากแคมเปญการโจมตี DarkGate” Zscaler กล่าว โดยอ้างถึงข้อมูลการวัดและส่งข้อมูลทางไกลของลูกค้า

“โดเมน DarkGate ส่วนใหญ่มีอายุ 50 ถึง 60 วัน ซึ่งอาจบ่งบอกถึงแนวทางที่จงใจที่ผู้แสดงภัยคุกคามสร้างและหมุนเวียนโดเมนตามช่วงเวลาที่กำหนด”

Reference : https://thehackernews.com/2023/12/hackers-exploiting-old-ms-excel.html

ขอบคุณครับ

บริษัท a2network (Thailand ) จำกัด

ติดต่อ : 02-261-3020