标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-1977] 作者: 对不起 发表于: [2018-09-26]
本文共 [619] 位读者顶过
思科Talos团队于本周一(9月24日)发布的一篇博文中指出,他们与ReversingLabs最近发现了一场新的垃圾电子邮件活动,该活动正在分发Adwind 3.0远程访问木马(RAT),而目标是三大桌面操作系统Linux、Windows和Mac OSX。 [出自:jiwo.org] 根据Talos团队的说法,这场新的垃圾电子邮件活动最初是由ReversingLabs于9月10日发现的,攻击者使用了Microsoft Excel动态数据交换(DDE)代码注入攻击来感染目标。最终的payload被证实是Adwind RAT的一个变种,而这个变种(即Adwind 3.0)已经升级为能够绕过恶意软件拦截软件的检测。 垃圾电子邮件活动分析思科Umbrella遥测显示,这场活动开始于2018年8月26日,并在8月28日达到峰值。
Umbrella还显示,75%的请求来自土耳其。但这并没有让Talos团队感到惊讶,因为所有这些垃圾电子邮件均是采用土耳其语编写的。一些目标也位于德国,考虑到德国有一个重要的土耳其社区,这也就不奇怪了。 以下是一封垃圾电子邮件示例,攻击者试图通过一封关于鞋子成本的电子邮件来引诱潜在受害者。
在上面的垃圾电子邮件示例中,我们可以看到一个CSV文件附件。Talos团队表示,还有一些垃圾电子邮件的附件使用的是带有.XLT扩展名的文件。 Microsoft Excel dropper正如上面所提到的那样,这场活动至少涉及到两种不同版本的dropper,它们分别使用.csv或.xlt扩展名,默认情况下由Microsoft Excel打开。两个版本的dropper的目的都是利用DDE代码注入技术来下载Adwind 3.0。虽然这种注入技术是众所周知的,但Talos团队表示,在他们撰写博文时,被注入的Adwind 3.0仍未被恶意软件拦截软件检测出来。 进一步的分析表明,dropper文件可以是下表中的任何扩展名。在默认情况下,虽然并非所有的文件类型都将由Microsoft Excel打开,但仍然可以通过一个带有这些扩展名之一作为参数的脚本来启动Microsoft Excel,以打开对应的文件。
在这场活动中,注入代码的目的是使用以下内来创建和执行一个VBScript脚本:
该脚本将使用bitasdmin(微软提供的一种工具,用于下载或上传作业并监控其进度)获取最终的payload。这个payload是一个Java归档文件。 Java payloadJava代码包含一个名为“Allatori Obfuscator version 4.7”的代码混淆器。
Talos团队将经过混淆处理的恶意软件识别为Adwind RAT v3.0。Adwind是一众所周知的多平台RAT,可能有多种配置。Talos团队表示,他们测试的样本被配置为在Windows、Linux和Mac OSX上实现持久性。 Adwind v3.0已经被多个恶意组织所使用过。它允许攻击者执行任何类型的命令、记录击键、捕获屏幕截图、拍照或传输文件。在过去,它曾被用于开展加密货币挖掘活动,并专注于航空业。 |