Rig利用套件入侵网站来注入恶意代码或脚本，将潜在的受害者重定向到利用套件的登录页。去年2月到3月，研究人员发现Rig的Seamless campaign在真实的登录页前增加了新的一层。

随着代码的更新，研究人员发现Rig集成了一个加密货币挖矿的恶意软件作为最后一步的payload。基于对Rig的最近活动分析，研究人员发现Rig正在利用一个远程代码执行漏洞CVE-2018-8174。该利用好像是来源于一个最近披露的PoC。安全漏洞会影响运行win 7及更高版本的操作系统，并且漏洞通过使用易受攻击的脚本引擎的IE和office运行。

Rig已成为最活跃的利用工具。Rig利用了许多的漏洞，包括Adobe Flash中的代码执行漏洞CVE-2015-8651。

Rig的最近活动

Rig表明最近利用套件活动减少并不表示已停止运营。事实上，其他的网络犯罪分子正以此为机会去修改工具和技术。4月份，Rig就使用Adobe Flash中的后释放漏洞CVE-2018-4878来替代CVE-2015-8651。

最近，因为加密货币挖矿的流行性，Rig正在传播GandCrab勒索软件和Panda Banker这样的恶意软件。恶意加密货币挖矿的破坏性可能不大，但其影响是长期的。除非有特别明显的影响，否则感染非常不容易被发现，这也让网络犯罪分子可以获得更多的非法收入。

图1: 该活动的感染链

感染链

Rig的Seamless campaign使用了恶意广告。在这种情况下，恶意广告一般含有隐藏的iframe可以将受害者重定向到Rig的登录页，而登录页中含有CVE-2018-8174的利用和shellcode。这可以让登录页混淆的shellcode启动远程代码执行。在成功的利用之后，第二阶段的下载器就会被提取，根据URL可以判断第二阶段下载器应该是SmokeLoader的变种。该URL可以下载最后阶段的payload，一个Monero挖矿机。

图2: Rig Seamless相关的iframe

图3: 加密的shellcode（上）和混淆后的CVE-2018-8174利用（下）

图4: Monero挖坑机的配置

图5: 加密货币挖矿软件的进程树(wuapp.exe)

缓解措施

利用工具可以将受害者置于多个威胁之中，从信息窃取和文件加密到恶意加密货币挖矿活动。经常性的更新系统补丁是一种比较有效的预防措施。对于企业的最佳实践有：

· 开启应用防火墙和入侵检测防御系统来更好的监控和扫描流经企业网络的流量；

· 使用应用控制来缓解可以的应用和进程执行引起的非授权的访问和权限；

· 限制或关闭非必要的或过时的插件、扩展和其他可作为入口点的应用。

IoC

相关哈希 (SHA-256):

23A05DB7E30B049C5E60BF7B875C7EFC7DCD95D9B775F34B11662CBD2A4DD7B4 — Internet Explorer exploit (VBScript) for CVE-2018-8174 detected as VBS_CVE20188174.B
BC1FD88BBA6A497DF68A2155658B5CA7306CD94BBEA692287EB8B59BD24156B4— Flash (SWF) exploit for CVE-2018-8174 detected as SWF_CVE20184878.O
66E4E472DA1B128B6390C6CBF04CC70C0E873B60F52EABB1B4EA74EBD119DF18 — YUYMR (SmokeLoader)
716a65e4b63e442756f63e3ac0bb971ee007f0bf9cf251b9f0bfd84e92177600 — COINMINER_MALXMR.THDBFAK-WIN32 (Monero Miner)

相关IP地址和恶意域名：

206[.]189[.]89[.]65
46[.]30[.]42[.]18
vnz[.]bit
khuongduy[.]ru/z[.]txt