根據(jù)趨勢科技研究人員的說法�,一些惡意垃圾郵件活動正在分發(fā)新的惡意軟件����,其中Gelup下載器和FlowerPippi后門被用于攻擊來自中東,日本�,印度,菲律賓和阿根廷的目標(biāo)����。
Proofpoint的研究人員還發(fā)現(xiàn)了兩個垃圾郵件活動���,這些垃圾郵件活動在6月份分發(fā)了他們稱為AndroMut的惡意軟件下載程序,這次攻擊者的十字準(zhǔn)線被設(shè)置在美國��,新加坡���,阿聯(lián)酋和韓國的收件人身上�����。
在Dridex銀行木馬和Locky勒索軟件背后的TA505黑客組織也是趨勢科技看到的七個活動以及Proofpoint團(tuán)隊觀察到的兩個活動�,其中新的Gelup / AndroMut和FlowerPippi惡意軟件被添加到該組的工具集中 從六月開始�����。
TA505使用包含.DOC和.XLS文檔的垃圾郵件來傳播其新的惡意軟件�����,通過打開惡意附件后執(zhí)行的VBA宏將有效負(fù)載丟棄在受感染的計算機(jī)上 - 少數(shù)垃圾郵件樣本也使用惡意URL導(dǎo)致FlawedAmmyy RAT下載 根據(jù)趨勢科技的說法��。
新的Gelup惡意軟件下載程序最有趣的特性是它使用混淆和UAC繞過技術(shù)��,它“模擬可信目錄(欺騙文件在可信目錄中的執(zhí)行路徑)�,濫用自動提升的可執(zhí)行文件����,以及使用動態(tài)鏈接庫 (DLL)側(cè)載技術(shù)����������!
正如趨勢科技在其技術(shù)分析[PDF]中所解釋的那樣���,Gelup的開發(fā)人員還包括旨在阻礙靜態(tài)和動態(tài)分析的各種技術(shù),以及使感染過程更難跟蹤的多個部署步驟����。
為了獲得持久性,Gelup將安排在系統(tǒng)的回收站中啟動LNK文件創(chuàng)建的任務(wù)��,或者根據(jù)Proofpoint所解釋的用戶權(quán)限添加注冊表運(yùn)行條目�����。
Proopfoint在對他們稱為AndroMut的下載器的分析中表示����,它已“觀察到它與其他兩個惡意軟件下載程序之間存在一些低可信度的重疊:Andromeda和QtLoader���。對后一種惡意軟件的研究也注意到與仙女座的一些相似之處��!
FlowerPippi是TA505最近部署的第二個惡意軟件�����,它還在其后門功能之上提供了下載技能�,使其能夠以可執(zhí)行二進(jìn)制文件或DLL文件的形式在受感染系統(tǒng)上丟棄更多惡意負(fù)載。
正如趨勢科技進(jìn)一步指出的那樣���,后門用于從受害者的計算機(jī)中收集和泄露信息���,并運(yùn)行從其命令和控制(C2)服務(wù)器接收的任意命令。
正在進(jìn)行的TA505活動
除了Proofpoint和趨勢科技的研究人員觀察和記錄的活動之外�����,微軟安全智能還在兩周前發(fā)布了一個關(guān)于活躍垃圾郵件活動的警報���,該活動試圖通過惡意XLS附件分發(fā)的FlawedAmmyy RAT惡意軟件感染韓國目標(biāo)�����。
雖然攻擊者利用的CVE-2017-11882 Microsoft Office漏洞已于兩年前被微軟修補(bǔ)���,但雷德蒙德的研究人員表示���,該漏洞仍在積極用于攻擊�����,“過去幾周活動增加”����。
FlawedAmmyy遠(yuǎn)程訪問特洛伊木馬有效載荷是TA505網(wǎng)絡(luò)犯罪集團(tuán)最喜歡的工具之一,它開始作為針對各種目標(biāo)的攻擊的一部分而下降�。
大約一周前,趨勢科技的威脅分析師發(fā)現(xiàn)了類似的活動���,微軟研究人員通過惡意的.XLS附件提供了FlawedAmmyy RAT���,針對韓國用戶,并歸因于TA505群�。
菜單上的勒索軟件���,特洛伊木馬和RAT
TA505是一個活躍的黑客組織,至少自2014年第三季度開始[1,2]�����,其重點(diǎn)是攻擊金融機(jī)構(gòu)和零售公司使用通過Necurs僵尸網(wǎng)絡(luò)傳播的大型惡意垃圾郵件活動���。
該組織的malspam活動分發(fā)了遠(yuǎn)程訪問特洛伊木馬(RAT)和惡意軟件下載程序�,這些特洛伊木馬和惡意軟件下載程序會丟棄Dridex和Trick銀行特洛伊木馬���,以及目標(biāo)計算機(jī)上的Locky和Jaff勒索軟件�。 [1,2]
在2018年11月期間�,TA505開始發(fā)布Proofpoint所見的新惡意工具,ServHelper后門和FlawedGrace遠(yuǎn)程訪問木馬(RAT)被部署為針對銀行���,零售企業(yè)和餐館的多個惡意軟件活動的一部分�����。
趨勢指示(IOC)包括TA505在其最新垃圾郵件活動中使用的惡意軟件樣本哈希�����,域和URL�����,由趨勢科技HERE和Proofpoint HERE提供�����。
微軟還發(fā)布了IOC���,包括數(shù)字簽名可執(zhí)行文件的哈希值以及他們檢測到的廣告系列中使用的FlawedAmmyy RAT����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
