针对Linux Windows macOS系统Adwind木马广告攻击

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

针对Linux Windows macOS系统Adwind木马广告攻击

研究人员发现了针对Linux,Windows和macOS系统的新Adwind广告系列。

Adwind是一种远程访问特洛伊木马(RAT),最近发现的广告系列中使用的示例是Adwind 3.0 RAT,并利用Microsoft Excel上的动态数据交换(DDE)代码注入攻击。

该活动于8月底被发现,攻击者主要针对土耳其的用户(75%),专家注意到其他受害者位于德国,但可能是土耳其社区的成员。

专家发现的垃圾邮件活动利用土耳其语编写的恶意文档。

ReversingLabs于9月10日首次发现这一新的广告系列似乎是过去在野外出现的Microsoft Excel上的动态数据交换(DDE)代码注入攻击的变种。这次,该变体能够避免恶意软件拦截软件的检测。ReversingLabs在这里写了关于这个问题的博客 。读取思科Talos发布的分析。

专家观察到此广告系列中至少有两个不同的droppers使用默认由Microsoft Excel打开的.csv或.xlt文件。

它们都会利用DDE代码注入攻击的新变种,尽管这种技术众所周知,但此广告系列中使用的变体仍然未被发现。

dropper文件可以有30多个不同的文件扩展名,默认情况下其中一些文件扩展名不会被Excel打开,但是,攻击者可以使用脚本启动Excel,并将带有这些扩展名之一的文件作为参数。

像CSV这样的格式没有预定义的标题,因此它可以在开头包含任何类型的数据。如同样本中的随机数据,我们发现了我的反病毒技巧,跳过文件扫描。其他格式可能被视为已损坏,因为它们可能不符合预期格式。报告继续。

Excel将向用户显示有关代码执行的不同警告,第一个与执行损坏的文件有关,第二个通知用户文档将执行应用程序CMD.exe”。

如果用户接受所有警告,则在系统上执行应用程序。

Talos指出攻击者的目标是注入能够创建和执行Visual Basic脚本的代码,该脚本使用 bitasdmin Microsoft工具下载或上传作业并监视其进度,以Java存档的形式获得最终的有效负载。

Java代码包含 Allatori Obfuscator 商业包装器4.7 版的演示版。

最终的有效载荷是Adwind RAT v3.0的样本。

这个活动所使用的滴管的DDE变种是一个很好的例子,在如何基于签名的防病毒可以被欺骗。它也是关于文件扩展名扫描配置的警告信号。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: