TA505再度出手,谨防Pied Piper网络钓鱼活动

TA505再度出手,谨防Pied Piper网络钓鱼活动

TA505威胁组织

网络犯罪威胁组织TA505被认为是最近正在进行的一场网络钓鱼活动的关键嫌疑人,该活动一直试图用FlawedAmmyy恶意软件和RMS远程访问木马(RAT)来感染受害者。这场范围广泛的威胁运动,击中了多个目标,它通过网络钓鱼在多个国家/地区提供各种远程访问特洛伊木马的有效载荷。

其中FlawedAmmyy远程访问木马(RAT)从被称为“Ammyy Admin”的远程管理软件的泄漏源代码开发的。FlawedAmmyy已被用于高度针对性的电子邮件攻击以及大规模垃圾邮件活动,并实现了常见的后门功能,允许攻击者管理文件、捕获屏幕、远程控制受害者的设备、建立RDP SessionsService等等。

TA505再度出手,谨防Pied Piper网络钓鱼活动

专门研究银行恶意软件和勒索软件的TA505组织最近显示出对RAT恶意软件的浓厚兴趣,本月网络安全公司Proofpoint发布的调查报告就证明了这一点,它认为TA505与一个新发现的名为tRAT的远程访问木马有着密不可分的关系。

Pied Piper钓鱼攻击

根据另一家网络安全公司Morphisec的首席技术官兼研发副总裁Michael Gorelik于上周发表的一篇博客文章,该网络钓鱼活动被称为Pied Piper,目标是几个知名的食品供应商,如Godiva Chocolates、Yogurtland和Pinkberry。Gorelik称“如果C&C服务器没有被禁用,我们只能假设其他服务器也可能很快被感染。”

与早前TA505的tRAT活动和其他最近以Ammyy Admin RAT为特色的网络钓鱼活动非常相似,Pier Piper将武器化的.pub(Microsoft Publisher)文档以及更标准的.doc文件作为附件进行分发,并试图诱骗受害者启用执行感染链的恶意宏。在这种情况下,Microsoft Publisher(.pub)附件通常伪装成业务发票。

TA505再度出手,谨防Pied Piper网络钓鱼活动

恶意宏

启用后,恶意宏将安装执行下一阶段的计划任务——一种旨在破坏防病毒(AV)保护的策略。然后,该任务执行PowerShell命令,这个命令以名为MYEXE的可执行文件的形式下载了包含下载程序的MSI安装程序。此下载程序会在受感染的计算机上搜索AV解决方案,然后将主要有效负载作为临时文件下载。

TA505再度出手,谨防Pied Piper网络钓鱼活动

一项对RAT签名证书的调查最终表明,Ammyy RAT和下载器使用相同的证书“AWAY PARTNERS LIMITED”签名,而RMS远程访问木马则使用不同的证书“DIGITAL DR”签名。威胁行为者“已经分发RMS远程访问木马超过一个月,其他的远程访问特洛伊木马也超过了数年,”Gorelik在报告中说。

TA505再度出手,谨防Pied Piper网络钓鱼活动

TA505再度出手,谨防Pied Piper网络钓鱼活动

两种不同的数字签名

在分析过程中,Morphisec的研究人员还发现了两周前针对西班牙和其他未知国家用户不同攻击的文件痕迹。在那次攻击中,文档中的图片显示它会根据目标语言专门定制。

TA505再度出手,谨防Pied Piper网络钓鱼活动

西班牙语文件

TA505再度出手,谨防Pied Piper网络钓鱼活动

德语文件

根据Gorelik的说法,FlawedAmmyy让攻击者“完全访问受害者的PC,允许他们窃取设备上的文件和凭据、收集屏幕截屏并访问摄像头和麦克风。它为攻击者提供了网络横向移动的立足点,作为主要供应链攻击的潜在切入点。”

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/132985.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code