根据趋势科技研究人员的说法,一些恶意垃圾邮件活动正在分发新的恶意软件,其中Gelup下载器和FlowerPippi后门被用于攻击来自中东,日本,印度,菲律宾和阿根廷的目标。
Proofpoint的研究人员还发现了两个垃圾邮件活动,这些垃圾邮件活动在6月份分发了他们称为AndroMut的恶意软件下载程序,这次攻击者的十字准线被设置在美国,新加坡,阿联酋和韩国的收件人身上。
在Dridex银行木马和Locky勒索软件背后的TA505黑客组织也是趋势科技看到的七个活动以及Proofpoint团队观察到的两个活动,其中新的Gelup / AndroMut和FlowerPippi恶意软件被添加到该组的工具集中 从六月开始。
TA505使用包含.DOC和.XLS文档的垃圾邮件来传播其新的恶意软件,通过打开恶意附件后执行的VBA宏将有效负载丢弃在受感染的计算机上 - 少数垃圾邮件样本也使用恶意URL导致FlawedAmmyy RAT下载 根据趋势科技的说法。
新的Gelup恶意软件下载程序最有趣的特性是它使用混淆和UAC绕过技术,它“模拟可信目录(欺骗文件在可信目录中的执行路径),滥用自动提升的可执行文件,以及使用动态链接库 (DLL)侧载技术。“
正如趋势科技在其技术分析[PDF]中所解释的那样,Gelup的开发人员还包括旨在阻碍静态和动态分析的各种技术,以及使感染过程更难跟踪的多个部署步骤。
为了获得持久性,Gelup将安排在系统的回收站中启动LNK文件创建的任务,或者根据Proofpoint所解释的用户权限添加注册表运行条目。
Proopfoint在对他们称为AndroMut的下载器的分析中表示,它已“观察到它与其他两个恶意软件下载程序之间存在一些低可信度的重叠:Andromeda和QtLoader。对后一种恶意软件的研究也注意到与仙女座的一些相似之处。”
FlowerPippi是TA505最近部署的第二个恶意软件,它还在其后门功能之上提供了下载技能,使其能够以可执行二进制文件或DLL文件的形式在受感染系统上丢弃更多恶意负载。
正如趋势科技进一步指出的那样,后门用于从受害者的计算机中收集和泄露信息,并运行从其命令和控制(C2)服务器接收的任意命令。
正在进行的TA505活动
除了Proofpoint和趋势科技的研究人员观察和记录的活动之外,微软安全智能还在两周前发布了一个关于活跃垃圾邮件活动的警报,该活动试图通过恶意XLS附件分发的FlawedAmmyy RAT恶意软件感染韩国目标。
虽然攻击者利用的CVE-2017-11882 Microsoft Office漏洞已于两年前被微软修补,但雷德蒙德的研究人员表示,该漏洞仍在积极用于攻击,“过去几周活动增加”。
FlawedAmmyy远程访问特洛伊木马有效载荷是TA505网络犯罪集团最喜欢的工具之一,它开始作为针对各种目标的攻击的一部分而下降。
大约一周前,趋势科技的威胁分析师发现了类似的活动,微软研究人员通过恶意的.XLS附件提供了FlawedAmmyy RAT,针对韩国用户,并归因于TA505群。
菜单上的勒索软件,特洛伊木马和RAT
TA505是一个活跃的黑客组织,至少自2014年第三季度开始[1,2],其重点是攻击金融机构和零售公司使用通过Necurs僵尸网络传播的大型恶意垃圾邮件活动。
该组织的malspam活动分发了远程访问特洛伊木马(RAT)和恶意软件下载程序,这些特洛伊木马和恶意软件下载程序会丢弃Dridex和Trick银行特洛伊木马,以及目标计算机上的Locky和Jaff勒索软件。 [1,2]
在2018年11月期间,TA505开始发布Proofpoint所见的新恶意工具,ServHelper后门和FlawedGrace远程访问木马(RAT)被部署为针对银行,零售企业和餐馆的多个恶意软件活动的一部分。
趋势指示(IOC)包括TA505在其最新垃圾邮件活动中使用的恶意软件样本哈希,域和URL,由趋势科技HERE和Proofpoint HERE提供。
微软还发布了IOC,包括数字签名可执行文件的哈希值以及他们检测到的广告系列中使用的FlawedAmmyy RAT。