垃圾邮件活动滥用SettingContent-ms传播FlawedAmmyy RAT
摘要: 无论是成熟的(如TA505)还是更新的空间,当恶意软件作者和研究人员发布的新的POC时,攻击者会迅速采用新的技术和方法。
我们目前有检测到一起释放FlawedAmmyy RAT (远程访问木马)的垃圾邮件活动,其中这个释放RAT之前被Necurs僵尸网络作为其最终有效载荷安装在与银行和POS相关的用户域下的bot(“肉鸡”)上。研究人员还发现该攻击活动滥用了SettingContent-ms,这是打开Windows设置面板的XML格式快捷方式文件。攻击者将恶意SettingContent-ms文件嵌入到pdf文档中,并释放前面描述的RAT中。
7月12日和13日的垃圾邮件数量
根据对7月12日和13日发送的垃圾邮件的研究和分析,恶意软件的攻击范围主要集中在马来西亚、印度尼西亚、肯尼亚、罗马尼亚、波兰和奥地利等国。
感染链
垃圾邮件活动的感染链
攻击活动中的垃圾邮件会使用“发票(invoice)”、“重要公告(important announcement)”、“副本(copy)”、“扫描图像(Scanned image)”、“安全公告(security bulletin)”和“这是什么(whats this)”等主题词来诱骗接收者。邮件附件中的PDF附件含有嵌入的JavaScript代码和downl.SettingContent-ms文件。用户一旦打开PDF附件,JS代码就会自动触发然后打开SettingContent-ms文件。
而downl.SettingContent-ms一旦打开,Windows就会运行标签中的powershell命令,其中的命令将在执行之前从hxxp://169[.]239[.]129[.]117/cal下载FlawedAmmyy RAT。 FlawedAmmyy RAT变种与Necurs模块在银行和POS相关的用户域名下安装的RAT完全相同。
垃圾邮件样本,PDF附件包含嵌入的JS代码和SettingContent-ms文件
PDF文件打开后会自动执行的嵌入式js代码
JS代码打开的嵌入的 “downl.SettingContent-ms”文件
用来打开 “downl.SettingContent-ms”文件的JS代码
开PDF文件后JS代码打开的“downl.SettingContent-ms”打文件
“downl.SettingContent-ms“文件的含有PowerShell命令的内容
此元素使用带参数的任何二进制档案并执行它,这意味着攻击者可以将『control.exe』替换为可以执行任何命令的恶意脚本,包括cmd.exe和PowerShell,无需使用者互动。
垃圾邮件活动与Necurs僵尸网络的关联
最近,Necurs僵尸网络已经发展成为全球最大的垃圾邮件传播组织。它主要通过邮件发送大量的银行恶意软件、勒索软件、攻击约会网站和股票网站的软件,甚至通过网络钓鱼的方式盗取加密货币钱包凭证的软件。Necurs僵尸网络好像对具有特定特征的僵尸主机(bot“肉鸡”)表现出很大的兴趣。在7月12日,Necurs将向它的bot推送了一个模块——一个FlawedAmmyy RAT的下载程序(downloader)。该模块会检查域名是否包含以下任意关键字:bank、banc、aloha、aldelo和postilion。其中,Aloha是一个餐厅POS系统,Aldelo是一个iPad POS系统,而Postilion是一个解决方案,可以通过各种渠道获取付款或交易,从ATM、POS到电子商务和移动设备。如果bot的用户域符合Necurs的要求下载器就会从hxxp://169[.]239[.]129[.]117/Yjdfel765Hs下载和执行final payload。
模块通过cmd命令echo %%USERDOMAIN%%获取bot的用户域
模块检查用户域名中是否含有关键字
专家基于电子邮件讯息以及payload将这个恶意垃圾邮件活动归属于TA505威胁实体。
TA505大规模经营,它躲在其他主流活动背后,它利用Necurs殭尸网络提供其他恶意软件,包括Locky勒索软件、Jaff勒索软件和Dridex银行木马。
总结:
无论是成熟的(如TA505)还是更新的空间,当恶意软件作者和研究人员发布的新的POC时,攻击者会迅速采用新的技术和方法。虽然并非所有新方法都能有效利用,但有些可能成为威胁实体轮换的常规因素,因为他们寻求新的手法来散播恶意软件或窃取凭证以获取经济利益。在这种情况下,我们认为TA505作为早期采用者,将SettingContent-ms档案的滥用调整为基于PDF的大规模攻击。
作者:WF曲速未来安全区;本文仅代表作者观点,不代表链得得官方立场。
评论(0)
Oh! no
您是否确认要删除该条评论吗?