WF曲速未来实验室提醒,目前有检测到一起释放FlawedAmmyy RAT (远程访问木马)的垃圾邮件活动,其中这个释放RAT之前被Necurs僵尸网络作为其最终有效载荷安装在与银行和POS相关的用户域下的bot(“肉鸡”)上。研究人员还发现该攻击活动滥用了SettingContent-ms,这是打开Windows设置面板的XML格式快捷方式文件。攻击者将恶意SettingContent-ms文件嵌入到pdf文档中,并释放前面描述的RAT中。
7月12日和13日的垃圾邮件数量
根据对7月12日和13日发送的垃圾邮件的研究和分析,恶意软件的攻击范围主要集中在马来西亚、印度尼西亚、肯尼亚、罗马尼亚、波兰和奥地利等国。
感染链:
垃圾邮件活动的感染链
攻击活动中的垃圾邮件会使用“发票(invoice)”、“重要公告(important announcement)”、“副本(copy)”、“扫描图像(Scanned image)”、“安全公告(security bulletin)”和“这是什么(whats this)”等主题词来诱骗接收者。邮件附件中的PDF附件含有嵌入的JavaScript代码和downl.SettingContent-ms文件。用户一旦打开PDF附件,JS代码就会自动触发然后打开SettingContent-ms文件。
而downl.SettingContent-ms一旦打开,Windows就会运行标签中的powershell命令,其中的命令将在执行之前从hxxp://169[.]239[.]129[.]117/cal下载FlawedAmmyy RAT。 FlawedAmmyy RAT变种与Necurs模块在银行和POS相关的用户域名下安装的RAT完全相同。
垃圾邮件样本,PDF附件包含嵌入的JS代码和SettingContent-ms文件
PDF文件打开后会自动执行的嵌入式js代码
JS代码打开的嵌入的 “downl.SettingContent-ms”文件
用来打开 “downl.SettingContent-ms”文件的JS代码
打开PDF文件后JS代码打开的“downl.SettingContent-ms”文件
“downl.SettingContent-ms“文件的含有PowerShell命令的内容
此元素使用带参数的任何二进制档案并执行它,这意味着攻击者可以将『control.exe』替换为可以执行任何命令的恶意脚本,包括cmd.exe和PowerShell,无需使用者互动。
垃圾邮件活动与Necurs僵尸网络的关联
最近,Necurs僵尸网络已经发展成为全球最大的垃圾邮件传播组织。它主要通过邮件发送大量的银行恶意软件、勒索软件、攻击约会网站和股票网站的软件,甚至通过网络钓鱼的方式盗取加密货币钱包凭证的软件。Necurs僵尸网络好像对具有特定特征的僵尸主机(bot“肉鸡”)表现出很大的兴趣。在7月12日,Necurs将向它的bot推送了一个模块——一个FlawedAmmyy RAT的下载程序(downloader)。该模块会检查域名是否包含以下任意关键字:bank、banc、aloha、aldelo和postilion。其中,Aloha是一个餐厅POS系统,Aldelo是一个iPad POS系统,而Postilion是一个解决方案,可以通过各种渠道获取付款或交易,从ATM、POS到电子商务和移动设备。如果bot的用户域符合Necurs的要求下载器就会从hxxp://169[.]239[.]129[.]117/Yjdfel765Hs下载和执行final payload。
模块通过cmd命令echo %%USERDOMAIN%%获取bot的用户域
模块检查用户域名中是否含有关键字
专家基于电子邮件讯息以及payload将这个恶意垃圾邮件活动归属于TA505威胁实体。
TA505大规模经营,它躲在其他主流活动背后,它利用Necurs殭尸网络提供其他恶意软件,包括Locky勒索软件、Jaff勒索软件和Dridex银行木马。
总结:
区块链安全公司WF曲速未来表示:无论是成熟的(如TA505)还是更新的空间,当恶意软件作者和研究人员发布的新的POC时,攻击者会迅速采用新的技术和方法。虽然并非所有新方法都能有效利用,但有些可能成为威胁实体轮换的常规因素,因为他们寻求新的手法来散播恶意软件或窃取凭证以获取经济利益。在这种情况下,我们认为TA505作为早期采用者,将SettingContent-ms档案的滥用调整为基于PDF的大规模攻击。
注: 本文内容由WF曲速未来安全区(WarpFuture.com) 编译,转载请注明来自区块链安全公司WF曲速未来。WF是交易所与超级节点的安全技术提供商,为区块链交易所提供媲美某猫双十一级别的账户安全与交易安全对抗云引擎,现交易所每日安全攻防调用量达亿级。知识星球请搜索“曲速区”,微信关注公众号“曲速未来安全区”。
网友评论