WF曲速區(qū)發(fā)布:垃圾郵件活動(dòng)濫用SettingContent-ms傳播FlawedAmmyy RAT區(qū)塊鏈
導(dǎo)語:WF曲速區(qū):發(fā)現(xiàn)一起濫用SettingContent-ms的垃圾郵件活動(dòng),該活動(dòng)還會(huì)釋放Necurs傳播的FlawedAmmyyRAT。
WF曲速未來實(shí)驗(yàn)室提醒,目前有檢測(cè)到一起釋放FlawedAmmyy RAT (遠(yuǎn)程訪問木馬)的垃圾郵件活動(dòng),其中這個(gè)釋放RAT之前被Necurs僵尸網(wǎng)絡(luò)作為其最終有效載荷安裝在與銀行和POS相關(guān)的用戶域下的bot(“肉雞”)上。研究人員還發(fā)現(xiàn)該攻擊活動(dòng)濫用了SettingContent-ms,這是打開Windows設(shè)置面板的XML格式快捷方式文件。攻擊者將惡意SettingContent-ms文件嵌入到pdf文檔中,并釋放前面描述的RAT中。
7月12日和13日的垃圾郵件數(shù)量
根據(jù)對(duì)7月12日和13日發(fā)送的垃圾郵件的研究和分析,惡意軟件的攻擊范圍主要集中在馬來西亞、印度尼西亞、肯尼亞、羅馬尼亞、波蘭和奧地利等國。
感染鏈:
垃圾郵件活動(dòng)的感染鏈
攻擊活動(dòng)中的垃圾郵件會(huì)使用“發(fā)票(invoice)”、“重要公告(important announcement)”、“副本(copy)”、“掃描圖像(Scanned image)”、“安全公告(security bulletin)”和“這是什么(whats this)”等主題詞來誘騙接收者。郵件附件中的PDF附件含有嵌入的JavaScript代碼和downl.SettingContent-ms文件。用戶一旦打開PDF附件,JS代碼就會(huì)自動(dòng)觸發(fā)然后打開SettingContent-ms文件。
而downl.SettingContent-ms一旦打開,Windows就會(huì)運(yùn)行標(biāo)簽中的powershell命令,其中的命令將在執(zhí)行之前從hxxp://169[.]239[.]129[.]117/cal下載FlawedAmmyy RAT。 FlawedAmmyy RAT變種與Necurs模塊在銀行和POS相關(guān)的用戶域名下安裝的RAT完全相同。
垃圾郵件樣本,PDF附件包含嵌入的JS代碼和SettingContent-ms文件
PDF文件打開后會(huì)自動(dòng)執(zhí)行的嵌入式j(luò)s代碼
JS代碼打開的嵌入的 “downl.SettingContent-ms”文件
用來打開 “downl.SettingContent-ms”文件的JS代碼
打開PDF文件后JS代碼打開的“downl.SettingContent-ms”文件
“downl.SettingContent-ms“文件的含有PowerShell命令的內(nèi)容
此元素使用帶參數(shù)的任何二進(jìn)制檔案并執(zhí)行它,這意味著攻擊者可以將『control.exe』替換為可以執(zhí)行任何命令的惡意腳本,包括cmd.exe和PowerShell,無需使用者互動(dòng)。
垃圾郵件活動(dòng)與Necurs僵尸網(wǎng)絡(luò)的關(guān)聯(lián)
最近,Necurs僵尸網(wǎng)絡(luò)已經(jīng)發(fā)展成為全球最大的垃圾郵件傳播組織。它主要通過郵件發(fā)送大量的銀行惡意軟件、勒索軟件、攻擊約會(huì)網(wǎng)站和股票網(wǎng)站的軟件,甚至通過網(wǎng)絡(luò)釣魚的方式盜取加密貨幣錢包憑證的軟件。Necurs僵尸網(wǎng)絡(luò)好像對(duì)具有特定特征的僵尸主機(jī)(bot“肉雞”)表現(xiàn)出很大的興趣。在7月12日,Necurs將向它的bot推送了一個(gè)模塊——一個(gè)FlawedAmmyy RAT的下載程序(downloader)。該模塊會(huì)檢查域名是否包含以下任意關(guān)鍵字:bank、banc、aloha、aldelo和postilion。其中,Aloha是一個(gè)餐廳POS系統(tǒng),Aldelo是一個(gè)iPad POS系統(tǒng),而Postilion是一個(gè)解決方案,可以通過各種渠道獲取付款或交易,從ATM、POS到電子商務(wù)和移動(dòng)設(shè)備。如果bot的用戶域符合Necurs的要求下載器就會(huì)從hxxp://169[.]239[.]129[.]117/Yjdfel765Hs下載和執(zhí)行final payload。
模塊通過cmd命令echo %%USERDOMAIN%%獲取bot的用戶域
模塊檢查用戶域名中是否含有關(guān)鍵字
專家基于電子郵件訊息以及payload將這個(gè)惡意垃圾郵件活動(dòng)歸屬于TA505威脅實(shí)體。
TA505大規(guī)模經(jīng)營(yíng),它躲在其他主流活動(dòng)背后,它利用Necurs殭尸網(wǎng)絡(luò)提供其他惡意軟件,包括Locky勒索軟件、Jaff勒索軟件和Dridex銀行木馬。
總結(jié):
區(qū)塊鏈安全公司W(wǎng)F曲速未來表示:無論是成熟的(如TA505)還是更新的空間,當(dāng)惡意軟件作者和研究人員發(fā)布的新的POC時(shí),攻擊者會(huì)迅速采用新的技術(shù)和方法。雖然并非所有新方法都能有效利用,但有些可能成為威脅實(shí)體輪換的常規(guī)因素,因?yàn)樗麄儗で笮碌氖址▉砩⒉阂廛浖蚋`取憑證以獲取經(jīng)濟(jì)利益。在這種情況下,我們認(rèn)為TA505作為早期采用者,將SettingContent-ms檔案的濫用調(diào)整為基于PDF的大規(guī)模攻擊。
注: 本文內(nèi)容由WF曲速未來安全區(qū)(WarpFuture.com) 編譯,轉(zhuǎn)載請(qǐng)注明來自區(qū)塊鏈安全公司W(wǎng)F曲速未來。WF是交易所與超級(jí)節(jié)點(diǎn)的安全技術(shù)提供商,為區(qū)塊鏈交易所提供媲美某貓雙十一級(jí)別的賬戶安全與交易安全對(duì)抗云引擎,現(xiàn)交易所每日安全攻防調(diào)用量達(dá)億級(jí)。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
