垃圾郵件捆綁分發 XTRAT、Loki 多款惡意程式,美日澳等國受災嚴重

CCkicker發表於2018-04-24


近日,趨勢科技安全專家發表博文稱其發現了一起垃圾郵件活動。透過該垃圾郵件,駭客組織能夠分發與Adwind RAT捆綁在一起的 XTRAT 和 DUNIHI 後門以及 Loki 惡意軟體。目前專家們在 1 月 1 日至 4 月17 日期間共檢測到 5,535 例 Adwind 感染病例,其中美國、日本、澳大利亞等國家受影響較為嚴重。


這場垃圾郵件活動主要被用來分發兩種廣告系列,其中一種是 XTRAT 後門(又稱“ XtremeRAT ”, BKDR_XTRAT.SMM)與資訊竊取者木馬 Loki(TSPY_HPLOKI.SM1)一起提供跨平臺遠端訪問木馬 Adwind(由趨勢科技檢測為JAVA_ADWIND.WIL)。而另一個單獨的 Adwind RAT 垃圾郵件活動中,研究人員觀察到使用帶有被追蹤為 DUNIHI 後門的 VBScript 。


研究人員表示,這兩個廣告系列都濫用合法的免費動態 DNS 伺服器hopto [。] org,並且試圖透過不同的後門程式來增加系統感染成功率。也就是說當其中一種惡意軟體被檢測到,其他的惡意軟體會繼續完成感染工作。

垃圾郵件捆綁分發 XTRAT、Loki 多款惡意程式,美日澳等國受災嚴重


Adwind、XTRAT 和 Loki 背後的騙子使用武器化的 RTF 文件觸發 CVE-2017-11882 漏洞,以交付 Adwind、XTRAT 和 Loki 軟體包。


垃圾郵件捆綁分發 XTRAT、Loki 多款惡意程式,美日澳等國受災嚴重


攻擊鏈


自 2013 年以來,Adwind 就可以在所有主流作業系統(Windows,Linux,MacOSX,Android)上執行,並且以其各種後門功能而聞名,如(但不限於):

-資訊竊取

-檔案和登錄檔管理

-遠端桌面

-遠端外殼

-流程管理

-上傳,下載和執行檔案


XTRAT 與 Adwind 具有類似的功能,例如資訊竊取,檔案和登錄檔管理,遠端桌面等。它還具有以下功能:

-螢幕截圖桌面

-透過網路攝像頭或麥克風錄製

-上傳和下載檔案

-登錄檔操作(讀取,寫入和操作)

-程式操作(執行和終止)

-服務操作(停止,啟動,建立和修改)

-執行遠端shell並控制受害者的系統


DUNIHI 具有以下後門功能:執行檔案、更新本身、解除安裝自己、下載檔案、上傳檔案、列舉驅動程式、列舉檔案和資料夾、列舉過程、執行 Shell 命令、刪除檔案和資料夾、終止程式、睡眠。


為了處理像 Adwind 這樣的跨平臺威脅,專家建議採取多層次的安全措施,IT 管理員應定期保持網路和系統的修補和更新,並且由於 Adwind 的兩種變體都透過電子郵件傳送,所以必須確保電子郵件閘道器的安全,以減輕濫用電子郵件作為系統和網路入口點的威脅。



來源:hackernews


相關文章