垃圾邮件捆绑分发XTRAT、Loki多款恶意程序

      近日，趋势科技安全专家发表博文称其发现了一起垃圾邮件活动。通过该垃圾邮件，黑客组织能够分发与 Adwind RAT 捆绑在一起的 XTRAT 和 DUNIHI 后门以及 Loki 恶意软件。目前专家们在 1 月 1 日至 4 月17 日期间共检测到 5,535 例 Adwind 感染病例，其中美国、日本、澳大利亚等国家受影响较为严重。

      这场垃圾邮件活动主要被用来分发两种广告系列，其中一种是 XTRAT 后门（又称“ XtremeRAT ”， BKDR_XTRAT.SMM）与信息窃取者木马 Loki（TSPY_HPLOKI.SM1）一起提供跨平台远程访问木马 Adwind（由趋势科技检测为JAVA_ADWIND.WIL）。而另一个单独的 Adwind RAT 垃圾邮件活动中，研究人员观察到使用带有被追踪为 DUNIHI 后门的 VBScript 。

      研究人员表示，这两个广告系列都滥用合法的免费动态 DNS 服务器hopto [。] org，并且试图通过不同的后门程序来增加系统感染成功率。也就是说当其中一种恶意软件被检测到，其他的恶意软件会继续完成感染工作。

      Adwind、XTRAT 和 Loki 背后的骗子使用武器化的 RTF 文档触发 CVE-2017-11882 漏洞，以交付 Adwind、XTRAT 和 Loki 软件包。

攻击链

      自 2013 年以来，Adwind 就可以在所有主流操作系统（Windows，Linux，MacOSX，Android）上运行，并且以其各种后门功能而闻名，如（但不限于）：

——信息窃取

——文件和注册表管理

——远程桌面

——远程外壳

——流程管理

——上传，下载和执行文件

      XTRAT 与 Adwind 具有类似的功能，例如信息窃取，文件和注册表管理，远程桌面等。它还具有以下功能：

——屏幕截图桌面

——通过网络摄像头或麦克风录制

——上传和下载文件

——注册表操作（读取，写入和操作）

——进程操作（执行和终止）

——服务操作（停止，启动，创建和修改）

——执行远程shell并控制受害者的系统

      DUNIHI 具有以下后门功能：执行文件、更新本身、卸载自己、下载文件、上传文件、枚举驱动程序、枚举文件和文件夹、枚举过程、执行 Shell 命令、删除文件和文件夹、终止进程、睡眠。

      为了处理像 Adwind 这样的跨平台威胁，专家建议采取多层次的安全措施，IT 管理员应定期保持网络和系统的修补和更新，并且由于 Adwind 的两种变体都通过电子邮件发送，所以必须确保电子邮件网关的安全，以减轻滥用电子邮件作为系统和网络入口点的威胁。

趋势科技完整分析：

《 XTRAT and DUNIHI Backdoors Bundled with Adwind in Spam Mails 》

消息来源：Security Affairs

转自 HackerNews.cc

标签： dns dns 服务器 linux 安全 电子邮件 服务器 漏洞 美国 网络

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。