据Trend Micro的研究人员称,TA505黑客组织正通过一些垃圾邮件活动传播名为Gelup和FlowerPippi的新型恶意软件,它们被用来攻击来自中东、日本、印度、菲律宾和阿根廷的目标实体。Proofpoint的研究人员还发现,在今年6月,有两场垃圾邮件活动在传播名为AndroMut的恶意软件下载程序,其攻击目标是来自美国、新加坡、阿联酋和韩国的收件人。TA505黑客组织曾发起过Dridex银行木马以及名为Locky的勒索软件攻击。
TA505黑客组织使用包含.DOC和.XLS文档的垃圾邮件来传播其新的恶意软件。受害者打开恶意附件后,通过执行VBA宏命令在受攻击的机器上部署payload。据Trend Micro报道,少量垃圾邮件样本还使用了恶意的URL,导致名为FlawedAmmyy的远程访问木马(RAT)下载。
垃圾邮件样本 (Proofpoint)
新发现的恶意软件Gelup的下载程序最有趣的特性是它使用了混淆和UAC绕过技术,这是“模拟受信任目录(欺骗受信任目录中文件的执行路径),滥用自动提升的可执行文件,并使用DLL侧加载技术。”恶意软件Gelup的开发人员使用包括各种旨在阻碍静态和动态分析的技术,并通过部署多个步骤使感染过程更难跟踪。为了使攻击时间更长,恶意软件Gelup可以运行在系统回收站中启动LNK文件创建的任务,或者添加注册表运行项,这取决于用户权限。
Gelup执行的命令(Trend Micro)
FlowerPippi是黑客组织TA505最近部署的第二个恶意软件,除了后门功能外,它还具有下载技巧,使其能够以可执行二进制文件或DLL文件的形式向受感染的系统释放更多的恶意payload。Trend Micro进一步指出,该后门用于收集和过滤受害者电脑中的信息,并运行从命令控制(C2)服务器接收到的任意命令。
FlowerPippi 执行的命令 (Trend Micro)
黑客组织TA505的攻击活动还在继续。除了Proofpoint和Trend Micro的研究人员所观察和记录到的活动以外,微软安全情报部门在大约两周前发布了一条安全警告,称一场活跃的垃圾邮件活动试图通过恶意的XLS附件来传播FlawedAmmyy 远程访问木马(RAT)使韩国的目标受感染。
Redmond的研究人员表示,虽然黑客们利用的微软办公软件漏洞(CVE-2017-11882 )在两年前就已经被修补,但黑客们仍广泛地利用该漏洞进行攻击,“且过去几周的攻击活动有所增加”。FlawedAmmyy远程访问木马的payload是TA505黑客组织最喜欢利用的工具之一,可以用于各种各样的攻击。大约在一周前,Trend Micro的安全研究人员发现了一场类似于微软研究人员发现的通过恶意的. XLS附件发送FlawedAmmyy远程访问木马(RAT)的活动。
TA505黑客组织至少从2014年第三季度起就变得活跃起来,其攻击的主要目标是通过Necurs僵尸网络传播的大型恶意垃圾邮件来攻击金融机构和零售企业。