ServHelper和FlawedGrace——TA505引入的新恶意软件

ServHelper和FlawedGrace——TA505引入的新恶意软件

研究人员发现了两个新的恶意软件家族,它们是在去年由TA505网络犯罪组织通过网络钓鱼活动分发的,分别是ServHelper后门(已有两个变种)和FlawedGrace远程访问木马(RAT)。

研究人员表示,这些威胁行为者继续以金融行业和零售部门的组织为目标,使用Microsoft Word、Microsoft Publisher和PDF文件向用户的计算机主机上发送恶意软件。

ServHelper和FlawedGrace——TA505引入的新恶意软件

TA505的名称来源于网络安全公司Proofpoint,该组织已经进行了至少为期四年的网络犯罪活动。值得一提的是,它正是臭名昭著的Dridex银行木马和Locky勒索软件背后的操作者,借助Necurs僵尸网络、恶意电子邮件进行攻击。

除了以上提及的恶意软件外,与TA505相关的其他恶意软件还包括Philadelphia和GlobeImposter勒索软件家族系列。

ServHelper出现在三次攻击活动中

第一次发送恶意邮件是在2018年11月9日。此次攻击规模不大,数千封电子邮件包含了带有恶意宏的Word和Publisher文档。

六天后紧接着又发生了一起涉及数万封电子邮件的大规模恶意活动,其中包含.DOC,.PUB和.WIZ文档的邮件,这些文档仅限于上述相同的Microsoft Office组件。

在12月13日观察到的第三次恶意活动中,威胁行为者在PDF文件混入一些看上去像是提示Adobe更新的URL。潜在的受害者将进入一个虚假的“Adobe PDF插件”页面,最终下载的却是ServHelper恶意软件。

ServHelper和FlawedGrace——TA505引入的新恶意软件

PDF附件中包含连接到虚假“Adobe PDF插件”页面的URL

发现这些恶意活动并分析这两个恶意软件系列的Proofpoint表示,威胁行为者的分发并不局限于世界上的某个特定区域,而是针对金融服务组织。开展这些活动的基础设施目前仍然未知,但它并没有显示出Necurs僵尸网络特有的特征。

ServHelper积极开发,有两个新变种

该恶意宏的目的是下载并执行ServHelper的一个变种,其设置SSH反向隧道,允许通过远程桌面协议(RDP)端口3389访问受感染的主机。

“一旦ServHelper建立了远程桌面访问,该恶意软件就能实现威胁行为者“劫持”合法用户帐户或其网络浏览器配置文件的功能,并在合适的时机利用它们,“Proofpoint的研究人员在今天发布的分析中解释道。

另一个ServHelper变种不包括隧道和劫持功能,仅作为FlawedGrace远程访问木马(RAT)的下载器。

ServHelper和FlawedGrace——TA505引入的新恶意软件

Fiddler屏幕截图显示ServHelper下载FlawedGrace

ServHelper是用Delphi编写的,其开发人员还在不断更新其功能和命令。Proofpoint表示,几乎每次新的恶意活动中都会发现一个该恶意软件的新变种。

使用分散式DNS

为了保护其命令和控制(C2)服务器,开发人员将.bit顶级域名(TLD)用于域名系统(DNS)服务器。除了.bit其他分散的顶级域名还有.emc、.lib、.bazar、.coin。

研究人员发现了用于解析四个ServHelper C2服务器IP地址的两个域名系统服务器:dedsolutions[.]bit和arepos[.]bit。

FlawedGrace破解不易

Proofpoint并不是第一个发现FlawedGrace RAT的人,自2017年11月初以来,该恶意软件就已经引起了研究人员的关注。尽管存在多个变种(有些早在2017年8月就已出现),但直到最近才被发现积极分发。

ServHelper和FlawedGrace——TA505引入的新恶意软件

FlawedGrace的初始C2通信

“根据这个恶意软件的调试字符串,可以发现其在2017年底进行了一次重大的升级。ServHelper恶意活动帮助分发了大量FlawedGrace RAT 2.0.10版本(创建于2017年11月20日),”研究人员在报告中指出。

他们还指出FlawedGrace是一个以C ++编写的多功能RAT,作为一个大程序,它“广泛使用面向对象和多线程编程技术”。因此,想要彻底了解、熟悉其内部结构需要花费大量时间,而且远非一项简单的任务。

在分析了两个恶意软件家族之后,研究人员得出结论:两款恶意软件在编码风格和技术上存在较明显的差异,因此可以说它们出自于不同的开发人员。当TA505分发新的恶意软件时,它有可能是暂时性de(如Bart勒索软件,其仅在2016年分发一天)。但目前看来,ServHelper和FlawedGrace这两种恶意软件极有可能是该黑客组织的长期投资。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/134067.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code