感谢腾讯御见威胁情报中心来稿!
原文:https://s.tencent.com/research/report/858.html
腾讯安全御见威胁情报中心检测到有黑产团伙通过SQL爆破投放多个病毒木马事件,用于投放的木马均伪装为图片格式后缀(jpg,png),其中包括“紫狐”木马、多个用于系统提权漏洞(CVE-2018-8120, CVE-2015-1701,ms16-032)攻击,及powershell脚本木马。紫狐木马安装后通过流氓推装软件刷量获利。
腾讯安全御见威胁情报中心检测到有黑产团伙通过SQL爆破投放多个病毒木马事件,用于投放的木马均伪装为图片格式后缀(jpg,png),其中包括“紫狐”木马、多个用于系统提权漏洞(CVE-2018-8120, CVE-2015-1701,ms16-032)攻击,及powershell脚本木马。紫狐木马安装后通过流氓推装软件刷量获利。
紫狐木马家族更先出现在2018年,通过下载器进行传播,一直活跃至今,之后还多次通过刷量软件进行传播(详见:御见威胁情报中心在9月份披露的刷量软件“流量宝流量版”通过挂马攻击传播“紫狐”病毒事件),如今紫狐木马又通过SQL爆破入侵植入。
根据腾讯安全御见威胁情报中心监测数据显示,最新的病毒域名es.ldbdhm.xyz在11月初开始活跃至今。
该团伙攻击影响全国大部分省区,受害最严重的为广东、河北、四川等地。腾讯安全御见威胁情报中心近期先后披露了多个团伙在使用SQL爆破攻击企业 *** 。
御见威胁情报中心近期监测到的攻击行动,是通过sql爆破入侵后会下载执行多个病毒文件,包括紫狐木马MSI安装包,提权漏洞,powershell脚本木马等等,入侵执行流程如下:
入侵阶段
通过sql爆破入侵,爆破成功后会执行多个脚本命令, 部分脚本命令如下:
执行的脚本的功能主要是下载执行,下载执行多个jpg, png,图片格式文件,这些文件用图片格式来伪装,实际上是powershell脚本病毒,MSI紫狐木马安装文件,EXE提权漏洞等,
下载文件及对应功能模块如下:
Windows 权限提升
下载执行多个提权漏洞,包括CVE-2018-8120, CVE-2015-1701,ms16-032等多个提权漏洞进行提权,从而提升当前进程执行权限,以便于将病毒的MSI安装文件成功安装到计算机中及进行更多需要高权限操作的恶意行为。
ms16-032下载地址:
hxxp://es.ldbdhm.xyz/sqlexec/1603232.jpg
ms16-032提权漏洞利用代码:
VE-2018-8120模块下载地址:
hxxp://es.ldbdhm.xyz/sqlexec/1808164.jpg
hxxp://es.ldbdhm.xyz/sqlexec/1808132.jpg
CVE-2018-8120提权代码:
安装紫狐木马
下载的 *** B1.jpg, *** B3.jpg,Sps.jpg等多个图片格式的文件实际上是MSI安装包,下载地址为hxxp://Es.ldbdhm.xyz/sqlexec/xxx.jpg
和历史版本的紫狐木马套路一致,MSI安装包内有三个PE文件:sysupdate.log, winupda32.log,winupda64.log,木马安装后会通过PendingFileRenameOperations实现开机启动。
MSI安装文件:
紫狐木马母体功能特点如下:
IOCs:
MD5:
364ac68062168fc334f478a2997c6298
4facb81f57e515a508040270849bcd35
3fe38271b009298b4cb0b01ef57edbf3
de5de649e0821b0dd3dadfa8235416ea
be0384e85412a2668008f76dc3b3ccea
f5df39c5ed4eb90c169216ace51ed833
5bab2f1dd53b3ae08dab8a1a2d7c145c
4658ddc4e03f0003f590666ab73261e3
2c62e2fbef311731ebbc26c785d10f2b
14018f47163809b0166591f87d1bb046
6467874d952a5ffc1edfd7f05b1cc86d
beac6592dbd3a479a64789e43ec20f27
b43442df320d1f89defd772991b6335c
ae3e7304122469f2de3ecbd920a768d1
URL:
hxxp://es.ldbdhm.xyz/ *** B3.jpg
hxxp://es.ldbdhm.xyz/sqlexec/1808164.jpg
hxxp://es.ldbdhm.xyz/sqlexec/1808132.jpg
hxxp://es.ldbdhm.xyz/sqlexec/pe.jpg
hxxp://es.ldbdhm.xyz/sqlexec/sps.jpg
hxxp://es.ldbdhm.xyz/ *** b3p.jpg
hxxp://es.ldbdhm.xyz/ *** B1.jpg
hxxp://es.ldbdhm.xyz/ *** B2.jpg
hxxp://es.ldbdhm.xyz/ *** B2P.jpg
hxxp://es.ldbdhm.xyz/ *** b1p.jpg
hxxp://es.ldbdhm.xyz/sqlexec/1505164.jpg
hxxp://es.ldbdhm.xyz/sqlexec/1603232.jpg
hxxp://es.ldbdhm.xyz/sqlexec/1505132.jpg
hxxp://es.ldbdhm.xyz/sqlexec/1603264.jpg
据Security affairs网站消息,4月21日,安全研究人员Khaled Nassar在Github上公开了Java 中新披露的数字签名绕过漏洞的PoC代码,该漏洞被追踪为CVE-2022-21449(CVSS 分数:7.5)。 漏洞的影响范围主要涉及 Java SE 和 Oracle Gr...
尽管未能赢得 AV-TEST 的最高防病毒(AV-Comparatives)等级评价,但 Microsoft Defender 仍是市面上最合适的产品之一。尴尬的是,在 Windows 11 Build 22581 编译版本中,许多人发现遇到了媒体播放问题。由 Reddit 网友的讨论可知,问题与系...
俄乌冲突进入第 3 周,一些非常规行为者继续针对俄罗斯国家支持的企业发起攻击,进行一连串的黑客攻击和数据泄露。而由俄罗斯国家控制的石油管道巨头 Transneft 无疑成为了重点攻击对象。 本周四,泄密托管网站 Distributed Denial of Secrets 发布了一个 79GB 的电子...
Microsoft Defender for Endpoint 今天出现了非常严重的误报事件,竟然将自家的 Office 应用程序更新 OfficeSvcMgr.exe 检测为勒索软件。今天早些时候,系统管理员在更新 Microsoft Defender for Endpoint 时注意到了恶意程...
研究人员近日发现了针对乌克兰计算机的新型擦除恶意软件(以破坏关键文件和数据为目的),这是俄乌冲突以来发现的第 3 款擦除恶意软件。 这种被称为 CaddyWiper 的恶意软件是由总部位于斯洛伐克的网络安全公司 ESET 的研究人员发现的,他们在周一发布的推文中分享了细节。 据研究人员称,该...
对微软Exchange服务器造成严重破坏的臭名昭著的Hafnium黑客组织回来了。但这一次,微软清楚地知道这个国家支持的威胁行为者团体的活动意图,该组织正在利用”Tarrask”恶意软件来瞄准并不断削弱Windows操作系统的防御能力。 微软检测和响应小组(DART)在一篇博文中解释说,Hafni...