「」远控木马Adwind现身土耳其，至少80家企业被入攻击名单

本文插图
网络安全公司Check Point的研究人员目前正在追踪一场目标锁定80余家土耳其企业的网络钓鱼电子邮件活动，由电子邮件附件释放的恶意软件被证实是远控木马Adwind的3.0版本，它不仅能够窃取敏感信息，同时也能够为攻击者提供对受感染计算机的远程访问权限。
感染链
如上所述，初始攻击媒介是网络钓鱼电子邮件，附件通常是一个Office文档。
在下一阶段，一个JAR文件将会被下载。该文件被高度混淆，并带有多种规避技术，以避免被安全产品检测出来。
然后， JAR文件便会释放Adwind ，这是一种跨平台、多功能的恶意软件，可以运行在任何支持Java平台的环境中，包括Windows、Mac、Linux以及Android等几乎所有的主流操作系统。
简单来说，攻击链可归纳为如下：

攻击者向受害者发送恶意电子邮件；
受害者触发恶意内容；
Adwind从GitHub存储库下载；
Adwind与它的C&C服务器建立连接。

本文插图
图1.感染链

本文插图
图2.钓鱼电子邮件示例
技术分析
根据Check Point研究人员的说法，初始恶意文件通常是是XLS或CSV文件。 XLS文件包含一个外部引用记录，用于触发恶意JAR文件的下载：

本文插图
图3.恶意外部引用记录
正如你所看到的那样，命令“cmd /c powershell –executionpolicy bypass –W Hidden –command”被用于下载包含一个名为“zpmqwjs.docx”的Office文档的JAR文件。
为避免被杀毒软件检测出来，攻击者使用了应用相对较少的Externsheet注入技术。

本文插图
图4.对XLS文件的病毒检测结果
此外，攻击者还在在单元格内容中添加了许多垃圾字符和特殊字符，并且使用了20年前的BIFF版本（BIFF5），这就导致常用的检测工具无法解析该文件。

本文插图
图5.在对XLS文件进行分析时， BiffView分析工具报错
CSV文件略显不同，它使用的是Formula注入技术，但下载的JAR文件是一致的。
需要指出的是，两种攻击向量都需要用户交互才能下载恶意的JAR文件。
Talos和Sophos都曾公开发布过与这场活动相关的报道，但攻击者似乎并没有因此收手。相反，他们一直在不断改进其技术，试图降低杀毒软件的检出率。