垃圾邮件活动滥用SettingContent-ms传播FlawedAmmyy RAT

我们目前有检测到一起释放FlawedAmmyy RAT (远程访问木马)的垃圾邮件活动，其中这个释放RAT之前被Necurs僵尸网络作为其最终有效载荷安装在与银行和POS相关的用户域下的bot（“肉鸡”）上。研究人员还发现该攻击活动滥用了SettingContent-ms，这是打开Windows设置面板的XML格式快捷方式文件。攻击者将恶意SettingContent-ms文件嵌入到pdf文档中，并释放前面描述的RAT中。

7月12日和13日的垃圾邮件数量

根据对7月12日和13日发送的垃圾邮件的研究和分析，恶意软件的攻击范围主要集中在马来西亚、印度尼西亚、肯尼亚、罗马尼亚、波兰和奥地利等国。

感染链

垃圾邮件活动的感染链

攻击活动中的垃圾邮件会使用“发票（invoice）”、“重要公告（important announcement）”、“副本（copy）”、“扫描图像（Scanned image）”、“安全公告（security bulletin）”和“这是什么（whats this）”等主题词来诱骗接收者。邮件附件中的PDF附件含有嵌入的JavaScript代码和downl.SettingContent-ms文件。用户一旦打开PDF附件，JS代码就会自动触发然后打开SettingContent-ms文件。

而downl.SettingContent-ms一旦打开，Windows就会运行标签中的powershell命令，其中的命令将在执行之前从hxxp://169[.]239[.]129[.]117/cal下载FlawedAmmyy RAT。 FlawedAmmyy RAT变种与Necurs模块在银行和POS相关的用户域名下安装的RAT完全相同。

垃圾邮件样本，PDF附件包含嵌入的JS代码和SettingContent-ms文件 

PDF文件打开后会自动执行的嵌入式js代码

JS代码打开的嵌入的 “downl.SettingContent-ms”文件

用来打开 “downl.SettingContent-ms”文件的JS代码

开PDF文件后JS代码打开的“downl.SettingContent-ms”打文件

“downl.SettingContent-ms“文件的含有PowerShell命令的内容

此元素使用带参数的任何二进制档案并执行它，这意味着攻击者可以将『control.exe』替换为可以执行任何命令的恶意脚本，包括cmd.exe和PowerShell，无需使用者互动。

垃圾邮件活动与Necurs僵尸网络的关联

最近，Necurs僵尸网络已经发展成为全球最大的垃圾邮件传播组织。它主要通过邮件发送大量的银行恶意软件、勒索软件、攻击约会网站和股票网站的软件，甚至通过网络钓鱼的方式盗取加密货币钱包凭证的软件。Necurs僵尸网络好像对具有特定特征的僵尸主机（bot“肉鸡”）表现出很大的兴趣。在7月12日，Necurs将向它的bot推送了一个模块——一个FlawedAmmyy RAT的下载程序（downloader）。该模块会检查域名是否包含以下任意关键字：bank、banc、aloha、aldelo和postilion。其中，Aloha是一个餐厅POS系统，Aldelo是一个iPad POS系统，而Postilion是一个解决方案，可以通过各种渠道获取付款或交易，从ATM、POS到电子商务和移动设备。如果bot的用户域符合Necurs的要求下载器就会从hxxp://169[.]239[.]129[.]117/Yjdfel765Hs下载和执行final payload。

模块通过cmd命令echo %%USERDOMAIN%%获取bot的用户域

模块检查用户域名中是否含有关键字

专家基于电子邮件讯息以及payload将这个恶意垃圾邮件活动归属于TA505威胁实体。

TA505大规模经营，它躲在其他主流活动背后，它利用Necurs殭尸网络提供其他恶意软件，包括Locky勒索软件、Jaff勒索软件和Dridex银行木马。

总结：

无论是成熟的（如TA505）还是更新的空间，当恶意软件作者和研究人员发布的新的POC时，攻击者会迅速采用新的技术和方法。虽然并非所有新方法都能有效利用，但有些可能成为威胁实体轮换的常规因素，因为他们寻求新的手法来散播恶意软件或窃取凭证以获取经济利益。在这种情况下，我们认为TA505作为早期采用者，将SettingContent-ms档案的滥用调整为基于PDF的大规模攻击。

作者：WF曲速未来安全区；本文仅代表作者观点，不代表链得得官方立场。