近日,趨勢科技安全專家發表博文稱其發現了一起垃圾郵件活動。透過該垃圾郵件,駭客組織能夠分發與Adwind RAT捆綁在一起的 XTRAT 和 DUNIHI 後門以及 Loki 惡意軟體。目前專家們在 1 月 1 日至 4 月17 日期間共檢測到 5,535 例 Adwind 感染病例,其中美國、日本、澳大利亞等國家受影響較為嚴重。
這場垃圾郵件活動主要被用來分發兩種廣告系列,其中一種是 XTRAT 後門(又稱“ XtremeRAT ”, BKDR_XTRAT.SMM)與資訊竊取者木馬 Loki(TSPY_HPLOKI.SM1)一起提供跨平臺遠端訪問木馬 Adwind(由趨勢科技檢測為JAVA_ADWIND.WIL)。而另一個單獨的 Adwind RAT 垃圾郵件活動中,研究人員觀察到使用帶有被追蹤為 DUNIHI 後門的 VBScript 。
研究人員表示,這兩個廣告系列都濫用合法的免費動態 DNS 伺服器hopto [。] org,並且試圖透過不同的後門程式來增加系統感染成功率。也就是說當其中一種惡意軟體被檢測到,其他的惡意軟體會繼續完成感染工作。
Adwind、XTRAT 和 Loki 背後的騙子使用武器化的 RTF 文件觸發 CVE-2017-11882 漏洞,以交付 Adwind、XTRAT 和 Loki 軟體包。
攻擊鏈
自 2013 年以來,Adwind 就可以在所有主流作業系統(Windows,Linux,MacOSX,Android)上執行,並且以其各種後門功能而聞名,如(但不限於):
-資訊竊取
-檔案和登錄檔管理
-遠端桌面
-遠端外殼
-流程管理
-上傳,下載和執行檔案
XTRAT 與 Adwind 具有類似的功能,例如資訊竊取,檔案和登錄檔管理,遠端桌面等。它還具有以下功能:
-螢幕截圖桌面
-透過網路攝像頭或麥克風錄製
-上傳和下載檔案
-登錄檔操作(讀取,寫入和操作)
-程式操作(執行和終止)
-服務操作(停止,啟動,建立和修改)
-執行遠端shell並控制受害者的系統
DUNIHI 具有以下後門功能:執行檔案、更新本身、解除安裝自己、下載檔案、上傳檔案、列舉驅動程式、列舉檔案和資料夾、列舉過程、執行 Shell 命令、刪除檔案和資料夾、終止程式、睡眠。
為了處理像 Adwind 這樣的跨平臺威脅,專家建議採取多層次的安全措施,IT 管理員應定期保持網路和系統的修補和更新,並且由於 Adwind 的兩種變體都透過電子郵件傳送,所以必須確保電子郵件閘道器的安全,以減輕濫用電子郵件作為系統和網路入口點的威脅。
來源:hackernews