新闻快讯
< >

黑客利用Windows新后门攻击俄罗斯企业

E安全8月10日讯 Trend Micro(趋势科技)发文称,一起针对俄罗斯企业的恶意电子邮件攻击活动活跃至少两个月,恶意分子利用基于Windows的新后门发起攻击。这起攻击依赖各种漏洞利用和Windows组件运行恶意脚本,以加重检测和防御难度。

2017年6月6日VirusTotal收到攻击的最早样本。6月23日至7月27日,Trend Micro发现5起垃圾邮件活动。专家认为,这起攻击活动将会持续。

Trend Micro表示,攻击目标包括金融机构(例如银行)和矿业公司。Trend Micro的研究人员注意到,攻击者发送不同的针对性电子邮件将策略多样化。电子邮件是社会工程诱饵一大特色,由于其散布范围受限,因此被用来实施鱼叉式网络钓鱼攻击。

恶意邮件活动如何发起攻击

这些看似来自销售与开票部门的电子邮件实则包含恶意富文本格式(RTF)文件,该文件正是利用了Microsoft Office Windows对象链接与嵌入(OLE)接口中的漏洞CVE-2017-0199,该漏洞已于4月修复,但Cobalt和CopyKittens等攻击者仍在滥用该漏洞,前端时间的Petya勒索病毒也是利用的该漏洞。

一旦执行漏洞利用代码,便会下载内嵌恶意JavaScript 的虚假XLS文件。一旦打开XLS文件, xcel文件头会被忽略, Windows组件mshta.exe会将该文件视作HTML应用程序文件。

JavaScript代码会调用odbcconf.exe正常可执行文件,此文件会执行各种与Microsoft数据访问组件(Microsoft Data Access Components)有关的任务,以此运行DLL。一经执行,DLL会在%APPDATA%文件夹内丢下一个文件,并附加.TXT扩展名,虽然这是一个用来声明变量、定义表达式并在网页中添加功能代码的SCT文件(Windows脚本小程序),但却带有恶意的混淆JavaScript。

DLL会调用Regsvr32(Microsoft注册服务器)命令行公用程序执行特定参数。

黑客利用新后门攻击俄罗斯企业-E安全

Squiblydoo首次与odbcconf.exe结合

以上这种攻击方法也被称为“Squiblydoo”。即滥用Regsvr32绕过运行脚本上的限制,躲避应用程序白名单保护。越南黑客组织APT32先前就曾利用这种方法发起攻击。

Trend Micro指出,虽然Squiblydoo是已知的攻击途径,但与odbcconf.exe结合使用还是首次。

接下来,从域名wecloud[.]biz下载的另一个XML文件便会执行命令。这个XML文件是这起攻击使用的主要后门,使用相同的Regsvr32滥用Squiblydoo攻击技术加以执行。

该后门是一个带有混淆JavaScript代码的SCT文件,支持执行命令,允许攻击者接管被感染的系统。这个后门设法连接到hxxps://wecloud[.]biz/mail/ajax[.]php的命令与控制(C&C)服务器,并检索任务。

这款恶意软件可以根据接收的命令下载并执行Portable Executable(PE)文件,删除文件/启动条目并终止、下载额外的/新脚本,运行新脚本并终止当前脚本,或运行Shell命令。

Trend Micro指出,虽然感染链的后续步骤要求使用各种Windows组件,但切入点仍包含使用Microsoft Office漏洞。用户可以通过打补丁、更新软件预防这种攻击威胁,或使用防火墙、入侵检测与防御系统、虚拟补丁和URL分类等方式,此外还应实施强有力的补丁管理政策以减少系统的攻击面。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。