#APT34 #Tesla #Agent #Phishing #Trojan
اخیرا تحرکاتی از تیم #APT34 منتصب به ایران، رخ داده است که مبتنی بر آسیب پذیری قدیمی CVE-2017-11882 و CVE-2018-0802 اقدام به پخش ایمیل فیشینگ هایی با محتوای فایل xls و یک دانلودر بدافزار بوده است.

اما در مرحله اجرا یک OLE اجرا میشود که دارای equation data است که در EQNEDT32.EXE به اجرا در آمده و از آسیب پذیری استفاده کرده و شلدکی را به اجرا در میاورد.

شلکد اجرایی در اصل یک دانلودر و اجراگر بدافزار است که بواسطه تابع URLDownloadToFileW که یک تابع API است تماس گرفته شده و بدافزاری با نام chromium.exe دانلود شده و در %TEMP% با نام desHost.exe ذخیره میشود.

اما فایل دانلودی یک بدافزار طراحی شده با dotNet است که کاملا مبهم سازی شده بواسطه IntelliLock و Net Reactor. بوده و مهاجم تمامی اسامی ها را مبهم ساخته است.

اما درون این بدافزار مقادیر Encode شده ای قرار دارد که دارای پیلود برای Agent Tesla بوده که بصورت Encode و Compress در Resource Section قرار کرده شده است.

پیلود Agent Tesla با تکنیک Process Hollowing که یک تکنیک برای محافظت از پردازش بدافزار است.

@Unk9vvN