他国泛滥的恶意垃圾邮件活动，也别不当事

恶意软件活动

以彼之失 警吾之身 （恶意垃圾邮件活动）

本周早些时候，FortiGuard实验室注意到AV签名HTML / IFrame.3EB！tr在日本被触发的量激增。这是一个恶意垃圾邮件活动的签名。

此恶意垃圾邮件以“Microsoft帐户的可疑登录“为邮件主题进行钓鱼攻击活动。

邮件声称收件人的Micorsoft office产品密钥已被泄漏，并列出受影响的Windows版本，以及IP地址220.31.254.151。该IP地址被分配为日本 SoftBank，这家公司在多家科技公司拥有股份，例如Yahoo日本，Alibaba以及Uber等。一旦收件人点击“Authenticate Now（马上验证）”按钮，即被重新定向到一个恶意的URL：hxxp://recvery-supprt-micr0s0ft[.]org/，改网址托管在俄罗斯。

不幸的是，这个网站，在我们分析的过程中被取消了，没法获得更多的细节信息。

这一恶意的垃圾邮件活动的激增和本周各种各样的垃圾邮件研究中蜜罐活动增加脱不了关系。好玩的是，这一垃圾邮件网络钓鱼攻击背后的发动者去年使用了类似的格式，并重复使用了同一个SoftBank IP地址，针对Apple用户也发动过攻击。

恶意垃圾邮件样本：

Windows: Windows 7 Ultimate

IP220.31.254.151

2018/3/22 (GMT)

Microsoft

English Translation

Office software product key

There is suspicious movement

According to a study by the Microsoft Security team, there is a suspiciousmovement that someone copied the product key of your office software.

Sign-in information:

Windows system: Windows 7 Ultimate

IP: 220.31.254.151 (Shizuoka)

Date: 2018/3/22 (GMT)

If you do this, you can ignore this email.

If you do not remember doing this, there is a possibility that a malicious useris using your product key.

Since it cannot be judged from here whether it is your operation, please do theverification work.

Authenticate now Thank you for using the service.

Microsoft account team

FortiGuard实验室针对这次恶意垃圾邮件活动发布了AV检测特征：

HTML/IFrame.3EB!tr

同时也将以下IOC加入了我们网页过滤的黑名单中：

hxxp://recvery-supprt-micr0s0ft[.]org/

本周恶意软件排行榜：

AVCrypt

AVCrypt在本周被发现，一个新的勒索软件，它会试图在加密设备之前卸载防病毒的安全软件。实际上，当AVCrypt执行后，它会静默一段时间。只有这样它才能提取嵌入式TOR客户端并连接到C&C服务器，并将受害者设备中加密密钥，时区信息和Windows版本传输。然后，它会查找特定的AV产品并尝试禁用安全软件，之前启动加密过程。

这一系列动作完成后，便不提供任何进一步的细节（例如联系信息和赎金）。在这种情况下，note信息只是一个简单的“lol n”。文件使用附加的+号加密; 例如，+ file.txt。

我们的分析人员运行AVCrypt，发现FortiClient检测到它为“Malicious_Behavior.SB”，勒索软件无法卸载FortiClient。

以下是勒索软件在设备中执行的命令：

命令行: cmd.exe /C wmicproduct where ( Vendor like "%FortiClient%" ) call uninstall/nointeractive & & shutdown /a & shutdown /a & shutdown /a

Path:

C:\Windows\SysWOW64\cmd.exe

FortiGuard实验室团队对该勒索软件样本进行了研究，并发布了AV检测特征：

Malicious_Behavior.SB

同时以下IOC已被加入黑名单：

bxp44w3qwwrmuupc[.]onion

Rapid

本周发现的另一种勒索软件变种是名为Rapid。 一旦受到感染，受害者会收到一个文本格式的注释，指出“所有文件都被RAPID 2.0.RANSOMWARE加密 ---别担心，您可以将所有文件返回！” 在消息和注释的内容中，会向受害者提供关于哪些文件受到影响的详细信息，以及有关如何通过电子邮件与攻击者联系以获取有关如何恢复文件的详细信息以及假定为定价信息的信息；以及一份警告“对任何试图对加密文件进行恢复均是无望”的信息。文件被加密后并附有随机的五个字符的扩展名。

FortiGuard实验室分析了样本文件，并发布了AV检测签名：W32/Gen.HPW!tr

Useless Ransomware（无用的勒索软件？！要是这样，真是谢谢了）

本周发现的另一款勒索软件 Useless。 传播途径未知，文件是useless.exe。一旦受到感染，受害者将看到带有红色文字的黑色锁屏，显示信息如下：

"Ooops, your important files are encrypted. If yousee this text, then your files are not accessible, because they've beenencrypted. Maybe you're busy looking for a way to recover your files, but do notwaste your time. Nobody can recover your files without our decryption service.In order to decrypt. Please Send $ 300 worth of Bitcoin to this address:1GZCw453MzQr8V2VAgJpRmKBYRDUJ8kzco"

“Ooops，你的重要文件是加密的，如果你看到这个文本，那么你的文件就无法访问，因为它们已经被加密了，也许你正在寻找恢复文件的方法，但是不要浪费你的时间。 如果没有我们的解密服务，没有人可以恢复您的文件。为了解密，请发送价值300美元的比特币到这个地址：1GZCw453MzQr8V2VAgJpRmKBYRDUJ8kzco“

有趣的是，这里并没有出现任何赎回联系信息。在撰写本文时，似乎没有人对比特币钱包地址进行任何付款尝试。

FortiGuard实验室研究了该样本，并发布了AV检测特征：

W32/Carbanak.C!tr

应用漏洞/IPS

Generic.JavaScript.Cryptocurrency.Mining.Script

此漏洞报告适用于任何基于JavaScript的加密货币挖掘程序，我们（IPS）签名检测Generic.JavaScript.Cryptocurrency.Mining.Script.

这些矿工不需要攻陷设备去挖矿，所做的的只是点击运行Java脚本的这个http服务器。也就是说在客户端的浏览器上运行脚本，攻击就算成功了。 即使在标签已经关闭之后，攻击仍然可以继续运行，这跟弹窗技术相关，允许浏览器会话正常工作，在Windows桌面上只留下最小化视觉提示。这些脚本通常是针对Monero加密货币进行挖掘的，因为它专门设计用于普通CPU（相对于在ASIC设备/其他GPU上工作的比特币），并且以隐私而闻名，这是网络犯罪分子看重的。这些脚本显示出越来越复杂的迹象，例如检查WebAssembly功能的浏览器的能力，这允许在浏览器上运行的代码充分利用底层硬件。

在比较过去7天和过去30天的平均值时，我们看到与这些签名相关的活动增加，增幅为328％。 过去24小时的平均值比上个月的平均值高出1630％。

Red.Hat.JBoss.AS.doFilter.Insecure.Deserialization

我们的（IPS）签名Red.Hat.JBoss.AS.doFilter.Insecure.Deserialization检测到红帽JBoss应用服务器中存在不安全的反序列化漏洞。

此漏洞是由于ReadOnlyAccessFilter类的doFilter函数对不受信任的数据进行反序列化，而该函数不检查或限制可能经历反序列化的类，从而允许攻击者制作特定的序列化对象并在攻击发生时获得远程核心执行。

成功的利用可能导致在SYSTEM / root用户的安全上下文中执行任意代码。 这会影响到Red Hat 5.2附带的并于2017年8月发布的JBoss应用服务器.GitHub上免费提供漏洞利用代码。

Oracle.WebLogic.Server.wls-wsat.Component.Code.Injection

Oracle融合中间件（子组件：WLS安全性）的OracleWebLogic Server组件中存在一个漏洞，该漏洞由我们的（IPS）特征Oracle.WebLogic.Server.wls-wsat.Component.Code.Injection检测到。 受影响的受支持版本为10.3.6.0.0,12.1.3.0.0,12.2.1.1.0和12.2.1.2.0。

这个容易被利用的漏洞允许未经身份验证的攻击者通过HTTP访问网络，从而危害Oracle WebLogic Server。 此漏洞的成功攻击可能导致接管OracleWebLogic Server。 该漏洞在2017年7月发布，Oracle在此日期之后不久发布了补丁。

由于这个漏洞的普遍可用性，可能会看到越来越多的与此漏洞相关的活动 - 至少有两个在2018年初公开发布。

网页过滤

Emotet

FortiGuard网页过滤团队已经注意到我们每天主动分析的Emotet恶意垃圾邮件活动活动的增加。我们分析了该Emotet IOC列表以及恶意软件，并发布了AV检测特征，如下：

W32/Emotet.AZ!tr

BA/Agent.HHV!tr

Malicious_Behavior.SB

FortiGuard实验室已将以下IOC加入黑名单:

hxxp://dwikara[.]com/WIRE-FORM/FT-6545

hxxp://homesports[.]com[.]ar/wp-content/themes/the-league/INV/IW-3257762352784

hxxp://lidogenrikhonelove[.]com/INVOICE/OV-8592859516

hxxp://mediatore-commerciale[.]iltuomediatore[.]it/WIRE-FORM/RZ-428245

37[.]187[.]4[.]178:443

45[.]55[.]201[.]174:443

另一种勒索软件的变体：

最近观察到一种新的勒索软件变种，它使用GNU Privacy Guard（GnuPG）开源程序加密数据。 3月初首见，它通过垃圾邮件，恶意附件，漏洞利用或欺诈下载传播。 执行key.bat批处理文件会导入密钥，并通过执行JavaScript run.js在受害者计算机上启动find.exe。 但是，找到的三个文件在没有其他支持文件的情况下不会加密任何文件以执行成功。勒索软件会将.qwerty扩展名附加到目标文件。

FortiGuard实验室发布以下AV检测特征：

W32/Filecoder.NPQ!tr

W32/Dycler.C!tr

并将以下IOC加入了黑名单：

62.152.47[.]251:8000/w/find.exe

62.152.47[.]251