要搞大事情?TA505开始测试新模块化tRAT

要搞大事情?TA505开始测试新模块化tRAT

TA505是网络安全公司Proofpoint追踪的最“高产”的黑客组织之一。该组织曾一手主导了2014年开始的数百次Dridex活动以及2016年、2017年的大规模Locky活动,在这些活动中,攻击者向全球分发了数亿条恶意信息,数量之庞大令人咂舌。最近,研究人员观察到该组织一直在分发各种远程访问特洛伊木马(RAT),以及用于信息收集、加载和侦察的工具,其中包括被称之为tRat的此前未知的恶意软件。

tRat是一个用Delphi编写的模块化RAT,这意味着它可以渗透目标用于侦察目的,并保持将来下载恶意负载的能力,已经出现在今年9月和10月的活动中(其中一个幕后攻击者是TA505)。

经济型黑客组织TA505

Proofpoint将TA505描述为一个有经济动机的威胁组织,该组织参与分发著名的黑客工具,如Locky勒索软件和Dridex银行木马。在过去的几年里,TA505黑客组织已经成功实施了多起大型的网络攻击活动。

下面这张信息图跟踪了TA505分发特定恶意软件的最早已知日期,从2014年的Dridex开始,到2017年将GlobeImposter和Philadelphia从小型、区域定位的勒索软件变种升级为全球威胁。

要搞大事情?TA505开始测试新模块化tRAT

TA505恶意软件分发时间轴

值得注意的是,TA505使用Necurs僵尸网络来进行他们的大规模垃圾邮件活动。正如我们在2016年和2017年所看到的那样,Necurs僵尸网络的暂时中断与TA505的安静时期正好重叠。当该僵尸网络重新回归后,TA505的恶意活动也迅速开始,且通常比破坏前的规模更大。

近期恶意攻击活动

2018年9月27日,Proofpoint检测到一个电子邮件恶意活动,其中恶意Microsoft Word文档执行宏命令来下载一个以前未记录的RAT。与其他网络钓鱼活动一样,tRat伪装成合法文件,这些文档通过伪装Norton品牌、文档名称和嵌入图像表明它们受到安全产品的保护。这些信息的主题部分结合了社交工程学攻击以消除受害者的警惕,其声称“我已经安全地与您共享文件”,最后执行嵌入式宏命令安装tRat。其幕后攻击者目前还未确定。

要搞大事情?TA505开始测试新模块化tRAT

9月攻击活动中,盗用知名品牌并结合社会工程学诱骗接收者启用恶意宏命令

10月11日,研究人员观察了另一起分发tRAT的电子邮件恶意活动,这次的幕后操作者被确定为TA505。这起攻击活动相对更加复杂,TA505使用Microsoft Word和Microsoft Publisher文件,邮件中使用不同的主题行和发件人。该攻击活动的目标似乎是商业银行的用户,其主题行引用了虚构的发票、报告或通知。

在此活动中,带有恶意Microsoft Publisher文档的邮件声称来自“发票”,发件地址各不相同,这些邮件中包含的附件被被命名为“Report.doc”。

要搞大事情?TA505开始测试新模块化tRAT

10月攻击活动中的电子邮件示例

任何情况下,邮件附件中都包含宏命令,一旦启用就会下载tRat。

要搞大事情?TA505开始测试新模块化tRAT

10月攻击活动中的诱饵文件示例

TA505因其攻击活动的数量、频率和复杂程度而更倾向于在电子邮件威胁领域上执行各种攻击。Proofpoint在周四发布的一份报告中表示,该组织似乎正在测试发送给商业银行和其他目标的网络钓鱼电子邮件中的新恶意软件。

妥协指标(IOCs)

要搞大事情?TA505开始测试新模块化tRAT

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/131740.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code