洛杉矶安全公司Resecurity和网络威胁情报部门、研发部门、白帽猎手排除了AgentTeslaC&C中继站通信的干扰(C2)一起,并提取了超过950GB的日志信息被泄露,包括被泄露的互联网用户凭据、文件和其他被恶意代码窃取的用户敏感数据。收集到的数据不仅可以帮助相关部门调查受害者,挽回数据泄露造成的损失,还可以挖掘出使用AgentTesla恶意软件的不法分子的活动时间表和分布区域。据悉,遇难者来自世界各地,包括美国、加拿大、意大利、德国、西班牙、墨西哥、哥伦比亚、智利、巴西、新加坡、韩国、马来西亚、台湾、日本、埃及、阿联酋(阿联酋)、科威特、沙特阿拉伯。阿拉伯王国(KSA)、海湾地区等。据公开资料显示,AgentTesla是全球最知名的恶意软件之一,曾卷入多起数据泄露事件。此次数据提取行动汇集了Resecurity安全公司、欧盟、中东和北美的执法机构以及几家大型互联网公司取得成功。AgentTesla恶意软件于2014年首次被发现,至今仍是一种流行的远程访问木马(RAT)工具。网络攻击者利用它窃取用户计算机上的各种信息,例如网络证书、键盘记录器、剪贴板记录和其他想要的信息,并从中获利。无论是网络犯罪组织还是活跃的不法分子,选择RAT的原因不外乎其稳定性、灵活性和强大的功能,可以让他们轻松获取用户的敏感数据,清理入侵痕迹,毫发无损。.需要注意的是,AgentTesla获取的大部分证书和数据都与金融服务、电子商务、政府系统以及个人或企业电子邮件有关。研究人员发现了AgentTesla恶意软件的活跃实例,并专门开发了一种机制来发现其受影响的客户端并提取泄露的数据。为了鼓励安全人员更好地对抗AgentTesla恶意软件,Resecurity的白帽猎手做了一个分享视频,展示了如何将.NET逆向工程和反混淆技术应用到AgentTesla的分析中。Resecurity的威胁研究员AhmedElmalky表示:“一旦AgentTesla的活动被成功追踪,全球范围内的受害者和可能的网络威胁就可以得到缓解。在某种程度上,我们已经看到了一些非常清晰的网络犯罪模式,但我们也看到那些在某些国家开展业务的人仍在使用这种网络攻击工具,因为它可供地下黑客社区使用。”据多家网络安全公司研究人员和AgentTesla恶意软件追踪器称,RAT仍然是对MicrosoftWindows环境的持续威胁,其入侵方式主要是通过发送恶意邮件来实现。在最近的一次更新中,AgentTesla再次被针对Microsoft内置的反恶意软件扫描接口(ASMI)可以更好地逃避Microsoft系统的检测,同时还使用复杂的机制来传输被盗数据。例如,去年,AgentTesla被用于石油和天然气中针对性很强的活动在一次攻击活动中,网络攻击者冒充了一家著名的埃及工程承包商,从事陆地和海上项目(Enppi-石油制造工业工程),并将其用于针对马来西亚、美国、伊朗、南非、阿曼和土耳其的公司能源行业攻击,他们还冒充东南亚某物流集团公司,使用l合法化相关化学品/油轮的信息,使恶意电子邮件在发送给特定用户时更加可信。因此,有安全专家表示,用户在使用电子邮件时一定要小心,尤其是在处理附件时,因为特斯拉特工经常使用电子邮件附件作为感染手段。文章来源:https://securityaffairs.co/wordpress/123039/malware/agent-tesla-c2c-dumped.html
