本文介绍了“蓝茶行动”如何通过钓鱼邮件利用“readme.js”恶意JS文件和ByPass UAC功能进行攻击。该行动是永恒之蓝下载器木马的更新版,具备多种横向扩散能力,包括永恒之蓝漏洞、LNK漏洞、Office漏洞等。安全建议包括屏蔽特定邮件、谨慎处理附件和加强服务器安全性。
一、背景
腾讯安全威胁情报中心检测到“蓝茶行动”攻击于04月17日进行了更新,此次更新在钓鱼邮件附件中加入了“readme.zip”,解压后是一个恶意的JS文件“readme.js”,同时该js执行过程中还加入了ByPass UAC功能(UAC为Windows自Vista之后引入的安全特性)。
“蓝茶行动”攻击实际上是“永恒之蓝”下载器木马,由于该木马最新的版本在攻击过程中会安装名为“bluetea”的计划任务而被命名。
“永恒之蓝”下载器木马出现于2018年12月,最初利用驱动人生升级通道下载木马感染大量机器,并具备利用“永恒之蓝”漏洞在内网进行快速传播的功能,木马通过在感染机器上植入门罗币挖矿木马获利。
该木马至今处于不断活跃中,自诞生以来已不断更新了一年多,目前该木马已具备多种方法横向扩散的能力:
1.“永恒之蓝”漏洞利用MS17-010。
2. Lnk漏洞利用CVE-2017-846。
3. Office漏洞利用CVE-2017-8570。
3. $IPC爆破。
4. SMB爆破。
5. MS SQL爆破。
6. RDP爆破。
7. 感染可移动盘、网络磁盘。
8. 钓鱼邮件(已使用多种不同诱饵主题:包括使用新冠病毒疫情相关主题)。
附:永恒之蓝木马下载器主要版本更新列表:
二、详细分析
“永恒之蓝”下载器木马的钓鱼邮件攻击传播功能在2020.04.03开始出现,并且攻击时投递的邮件附件为“urgent.doc”,该文档附带Office漏洞CVE-2017-8570,漏洞触发后执行恶意Powershell代码。https://mp.weixin.qq.com/s/YdoACRlHdQDYS6hjSgx1PA
在04.17日检测到的钓鱼邮件中,附件中新增了包含恶意JS代码的压缩包“readme.zip”。奇热邮件主题由之前的新冠肺炎疫情变成了“What the f**k”,邮件内容为:
最低0.47元/天 解锁文章
扫一扫
555
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
