近日，趋势科技安全专家发表博文称其发现了一起垃圾邮件活动。通过该垃圾邮件，黑客组织能够分发与 Adwind RAT 捆绑在一起的 XTRAT 和 DUNIHI 后门以及 Loki 恶意软件。目前专家们在 1 月 1 日至 4 月17 日期间共检测到 5,535 例 Adwind 感染病例，其中美国、日本、澳大利亚等国家受影响较为严重。

这场垃圾邮件活动主要被用来分发两种广告系列，其中一种是 XTRAT 后门（又称“ XtremeRAT ”， BKDR_XTRAT.SMM）与信息窃取者木马 Loki（TSPY_HPLOKI.SM1）一起提供跨平台远程访问木马 Adwind（由趋势科技检测为JAVA_ADWIND.WIL）。而另一个单独的 Adwind RAT 垃圾邮件活动中，研究人员观察到使用带有被追踪为 DUNIHI 后门的 VBScript 。

研究人员表示，这两个广告系列都滥用合法的免费动态 DNS 服务器hopto [。] org，并且试图通过不同的后门程序来增加系统感染成功率。也就是说当其中一种恶意软件被检测到，其他的恶意软件会继续完成感染工作。

Adwind、XTRAT 和 Loki 背后的骗子使用武器化的 RTF 文档触发 CVE-2017-11882 漏洞，以交付 Adwind、XTRAT 和 Loki 软件包。

攻击链

自 2013 年以来，Adwind 就可以在所有主流操作系统（Windows，Linux，MacOSX，Android）上运行，并且以其各种后门功能而闻名，如（但不限于）：

-信息窃取

-文件和注册表管理

-远程桌面

-远程外壳

-流程管理

-上传，下载和执行文件

XTRAT 与 Adwind 具有类似的功能，例如信息窃取，文件和注册表管理，远程桌面等。它还具有以下功能：

-屏幕截图桌面

-通过网络摄像头或麦克风录制

-上传和下载文件

-注册表操作（读取，写入和操作）

-进程操作（执行和终止）

-服务操作（停止，启动，创建和修改）

-执行远程shell并控制受害者的系统

DUNIHI 具有以下后门功能：执行文件、更新本身、卸载自己、下载文件、上传文件、枚举驱动程序、枚举文件和文件夹、枚举过程、执行 Shell 命令、删除文件和文件夹、终止进程、睡眠。

为了处理像 Adwind 这样的跨平台威胁，专家建议采取多层次的安全措施，IT 管理员应定期保持网络和系统的修补和更新，并且由于 Adwind 的两种变体都通过电子邮件发送，所以必须确保电子邮件网关的安全，以减轻滥用电子邮件作为系统和网络入口点的威胁。

趋势科技完整分析：

《 XTRAT and DUNIHI Backdoors Bundled with Adwind in Spam Mails 》

(责任编辑：冬天的宇)