信息來(lái)源:hackernews
據(jù)Trend Micro的研究人員稱(chēng)��,TA505黑客組織正通過(guò)一些垃圾郵件活動(dòng)傳播名為Gelup和FlowerPippi的新型惡意軟件��,它們被用來(lái)攻擊來(lái)自中東��、日本�����、印度�、菲律賓和阿根廷的目標(biāo)實(shí)體�。Proofpoint的研究人員還發(fā)現(xiàn),在今年6月���,有兩場(chǎng)垃圾郵件活動(dòng)在傳播名為AndroMut的惡意軟件下載程序��,其攻擊目標(biāo)是來(lái)自美國(guó)�、新加坡����、阿聯(lián)酋和韓國(guó)的收件人。TA505黑客組織曾發(fā)起過(guò)Dridex銀行木馬以及名為L(zhǎng)ocky的勒索軟件攻擊����。
TA505黑客組織使用包含.DOC和.XLS文檔的垃圾郵件來(lái)傳播其新的惡意軟件。受害者打開(kāi)惡意附件后�����,通過(guò)執(zhí)行VBA宏命令在受攻擊的機(jī)器上部署payload��。據(jù)Trend Micro報(bào)道�����,少量垃圾郵件樣本還使用了惡意的URL�����,導(dǎo)致名為FlawedAmmyy的遠(yuǎn)程訪問(wèn)木馬(RAT)下載�����。
垃圾郵件樣本 (Proofpoint)
新發(fā)現(xiàn)的惡意軟件Gelup的下載程序最有趣的特性是它使用了混淆和UAC繞過(guò)技術(shù)�����,這是“模擬受信任目錄(欺騙受信任目錄中文件的執(zhí)行路徑)�,濫用自動(dòng)提升的可執(zhí)行文件,并使用DLL側(cè)加載技術(shù)��?!睈阂廛浖礼elup的開(kāi)發(fā)人員使用包括各種旨在阻礙靜態(tài)和動(dòng)態(tài)分析的技術(shù),并通過(guò)部署多個(gè)步驟使感染過(guò)程更難跟蹤。為了使攻擊時(shí)間更長(zhǎng)�����,惡意軟件Gelup可以運(yùn)行在系統(tǒng)回收站中啟動(dòng)LNK文件創(chuàng)建的任務(wù)�,或者添加注冊(cè)表運(yùn)行項(xiàng),這取決于用戶(hù)權(quán)限����。
Gelup執(zhí)行的命令(Trend Micro)
FlowerPippi是黑客組織TA505最近部署的第二個(gè)惡意軟件,除了后門(mén)功能外�����,它還具有下載技巧�����,使其能夠以可執(zhí)行二進(jìn)制文件或DLL文件的形式向受感染的系統(tǒng)釋放更多的惡意payload���。Trend Micro進(jìn)一步指出�����,該后門(mén)用于收集和過(guò)濾受害者電腦中的信息�,并運(yùn)行從命令控制(C2)服務(wù)器接收到的任意命令。
FlowerPippi 執(zhí)行的命令 (Trend Micro)
黑客組織TA505的攻擊活動(dòng)還在繼續(xù)�。除了Proofpoint和Trend Micro的研究人員所觀察和記錄到的活動(dòng)以外,微軟安全情報(bào)部門(mén)在大約兩周前發(fā)布了一條安全警告�,稱(chēng)一場(chǎng)活躍的垃圾郵件活動(dòng)試圖通過(guò)惡意的XLS附件來(lái)傳播FlawedAmmyy 遠(yuǎn)程訪問(wèn)木馬(RAT)使韓國(guó)的目標(biāo)受感染��。
Redmond的研究人員表示��,雖然黑客們利用的微軟辦公軟件漏洞(CVE-2017-11882 )在兩年前就已經(jīng)被修補(bǔ)���,但黑客們?nèi)詮V泛地利用該漏洞進(jìn)行攻擊�����,“且過(guò)去幾周的攻擊活動(dòng)有所增加”��。FlawedAmmyy遠(yuǎn)程訪問(wèn)木馬的payload是TA505黑客組織最喜歡利用的工具之一���,可以用于各種各樣的攻擊。大約在一周前�����,Trend Micro的安全研究人員發(fā)現(xiàn)了一場(chǎng)類(lèi)似于微軟研究人員發(fā)現(xiàn)的通過(guò)惡意的. XLS附件發(fā)送FlawedAmmyy遠(yuǎn)程訪問(wèn)木馬(RAT)的活動(dòng)��。
TA505黑客組織至少?gòu)?014年第三季度起就變得活躍起來(lái)[1,2],其攻擊的主要目標(biāo)是通過(guò)Necurs僵尸網(wǎng)絡(luò)傳播的大型惡意垃圾郵件來(lái)攻擊金融機(jī)構(gòu)和零售企業(yè)���。
