安全人員發現了Agent Tesla惡意軟件的數據

2021年10月6日，據媒體消息，總部位于洛杉磯的安全公司Resecurity和網絡威脅情報部門、研發部門、白帽獵人，一起排除了Agent Tesla C&C中繼站通信（C2）的干擾，并且提取了超過950GB的日志信息，其中包括泄露的互聯網用戶憑證、文件和其他被惡意代碼竊取的用戶敏感數據。

這些收集到的數據將不僅有助于有關部門排查受害者，挽回數據泄露造成的損失，同時也可以挖掘使用Agent Tesla惡意軟件不法分子的活動時間表和分布區域。據悉，受害者來自全球各個地方，包括美國、加拿大、意大利、德國、西班牙、墨西哥、哥倫比亞、智利、巴西、新加坡、韓國、馬來西亞、臺灣、日本、埃及、阿拉伯聯合酋長國(UAE)、科威特、沙特阿拉伯王國(KSA)、海灣地區以及其他國家。

公開資料顯示，Agent Tesla是全球知名的惡意軟件之一，在多次數據泄露事件中都有它的身影。而此次數據提取操作匯聚了Resecurity安全公司，歐盟、中東和北美等地區的執法部門，和幾家大的互聯網公司才得以成功。

Agent Tesla惡意軟件首次被發現于2014年，時至今日，它仍然是流行的遠程訪問木馬(RAT)工具。網絡攻擊者曾用它來竊取用戶電腦上的各種信息，例如網絡證書、鍵盤記錄、剪切板記錄以及其它想要獲取的信息，并以此獲利。

不論是網絡犯罪組織還是活躍的不法分子，選擇RAT的原因不外乎是它的穩定性、靈活性和強大的功能，可以讓他們輕而易舉地獲取用戶的敏感數據，并清理入侵痕跡，全身而退。

需要注意的是，Agent Tesla所獲取的證書和數據大多數都是來自于金融服務，電商，政府系統以及個人或商業電子郵件有關。

研究人員曾發現了Agent Tesla惡意軟件的活躍實例，并針對性地開發了一種機制，以此來發現受到它影響的客戶端并提取出那些被泄露的數據。為了鼓勵安全人員更好地對抗Agent Tesla惡意軟件，Resecurity公司的白帽獵人做了一個分享視頻，向大家展示了如何將NET反向工程和反混淆技術應用于 Agent Tesla 的分析。

Resecurity公司的威脅研究人員Ahmed Elmalky則表示：“一旦成功追蹤到Agent Tesla的活動，那么全球范圍內受此困擾的受害者和可能存在的網絡威脅行為都能得到緩解。某種程度上，我們已經看到了一些非常清晰的網絡犯罪模式，但是，我們也看到了，那些在特定國家開展活動的不法分子依舊在使用這種網絡攻擊工具，原因是它可以地下黑客社區使用。”

根據多家網絡安全公司研究員和Agent Tesla惡意軟件跟蹤研究者的說法，RAT依舊會對微軟Windows 環境產生持續性的威脅，它入侵的方式主要是通過發送惡意電子郵件來實現。

在最近的更新中，Agent Tesla再一次將目標瞄準了微軟內置的反惡意軟件掃描接口（ASMI），以此更好地逃避微軟系統的檢測，同時還會使用一種復雜的機制來傳輸竊取的數據。

例如在去年，Agent Tesla就曾被用于石油和天然氣行業的高針對性活動。在一場競選活動中，網絡攻擊者冒充了一個著名的埃及工程承包商參與陸地和海上的項目（Enppi-石油制造工業工程），并借此針對馬來西亞、美國、伊朗、南非、阿曼和土耳其的能源行業發起攻擊。

他們還冒充東南亞某物流集團公司，利用相關的化學品/油輪的合法信息發送釣魚郵件，使惡意電子郵件發送給特定的用戶時變得更可信。

因此，有安全專家表示，用戶在使用電子郵件時一定要小心，尤其是在處理附件的時候，因為Agent Tesla經常通過電子郵件附件挾帶為感染途徑。

文章來源：

https://securityaffairs.co/wordpress/123039/malware/agent-tesla-c2c-dumped.html