垃圾郵件捆綁分發 XTRAT、Loki 多款惡意程式，美日澳等國受災嚴重

近日，趨勢科技安全專家發表博文稱其發現了一起垃圾郵件活動。透過該垃圾郵件，駭客組織能夠分發與Adwind RAT捆綁在一起的 XTRAT 和 DUNIHI 後門以及 Loki 惡意軟體。目前專家們在 1 月 1 日至 4 月17 日期間共檢測到 5,535 例 Adwind 感染病例，其中美國、日本、澳大利亞等國家受影響較為嚴重。

這場垃圾郵件活動主要被用來分發兩種廣告系列，其中一種是 XTRAT 後門（又稱“ XtremeRAT ”， BKDR_XTRAT.SMM）與資訊竊取者木馬 Loki（TSPY_HPLOKI.SM1）一起提供跨平臺遠端訪問木馬 Adwind（由趨勢科技檢測為JAVA_ADWIND.WIL）。而另一個單獨的 Adwind RAT 垃圾郵件活動中，研究人員觀察到使用帶有被追蹤為 DUNIHI 後門的 VBScript 。

研究人員表示，這兩個廣告系列都濫用合法的免費動態 DNS 伺服器hopto [。] org，並且試圖透過不同的後門程式來增加系統感染成功率。也就是說當其中一種惡意軟體被檢測到，其他的惡意軟體會繼續完成感染工作。

Adwind、XTRAT 和 Loki 背後的騙子使用武器化的 RTF 文件觸發 CVE-2017-11882 漏洞，以交付 Adwind、XTRAT 和 Loki 軟體包。

攻擊鏈

自 2013 年以來，Adwind 就可以在所有主流作業系統（Windows，Linux，MacOSX，Android）上執行，並且以其各種後門功能而聞名，如（但不限於）：

-資訊竊取

-檔案和登錄檔管理

-遠端桌面

-遠端外殼

-流程管理

-上傳，下載和執行檔案

XTRAT 與 Adwind 具有類似的功能，例如資訊竊取，檔案和登錄檔管理，遠端桌面等。它還具有以下功能：

-螢幕截圖桌面

-透過網路攝像頭或麥克風錄製

-上傳和下載檔案

-登錄檔操作（讀取，寫入和操作）

-程式操作（執行和終止）

-服務操作（停止，啟動，建立和修改）

-執行遠端shell並控制受害者的系統

DUNIHI 具有以下後門功能：執行檔案、更新本身、解除安裝自己、下載檔案、上傳檔案、列舉驅動程式、列舉檔案和資料夾、列舉過程、執行 Shell 命令、刪除檔案和資料夾、終止程式、睡眠。

為了處理像 Adwind 這樣的跨平臺威脅，專家建議採取多層次的安全措施，IT 管理員應定期保持網路和系統的修補和更新，並且由於 Adwind 的兩種變體都透過電子郵件傳送，所以必須確保電子郵件閘道器的安全，以減輕濫用電子郵件作為系統和網路入口點的威脅。

來源：hackernews