疑似黑客组织TA505再出手,在新的活动中传播多种远控木马

2018-12-07 02:01:21 3 2184

Morphisec Labs的研究人员在上周发现了一场大范围的网络攻击活动,同时针对了多个目标。研究人员将这场活动命名为“Pied Piper(花衣魔笛手)”,因为它通过网络钓鱼在多个国家/地区交付了多种远程访问木马(RAT)。





Morphisec Labs的研究人员在上周发现了一场大范围的网络攻击活动,同时针对了多个目标。研究人员将这场活动命名为“Pied Piper(花衣魔笛手)”,因为它通过网络钓鱼在多个国家/地区交付了多种远程访问木马(RAT)。

其中一起行动交付了FlawedAmmyy RAT。这个木马病毒可以让攻击者完全控制受害者的PC,允许他们窃取文件和凭证、抓取屏幕截图,以及访问摄像头和麦克风。另外,它还为攻击者在网络中横向移动提供了一个立足点,并作为供应链攻击的潜在入口点。

研究人员表示,这场活动如果顺利执行,则可能会影响到几家知名食品连锁店的供应商,包括Godiva Chocolates、Yogurtland和Pinkberry。另外,如果C&C服务器最终没有被捣毁,那么还会有其他的目标很快会被攻击

FlawedAmmyy RAT的使用量在过去的几个月里出现了大幅飙升,并在上个月进入了Check Point全球威胁指数(Checkpoint Global Threat Index)的前10名。正如Check Point的研究人员在去年3月份所披露的那样,该恶意软件是基于遭泄露的Ammyy管理远程桌面软件的源代码创建的。

研究人员表示,“Pied Piper”活动与早前旨在交付FlawedAmmyy RAT的网络钓鱼活动非常类似。诱饵文档包含了相同的彩色图片,诱使受害者使用宏来查看Microsoft Office文档。在这场最新的活动中,攻击者使用了武器化的.pub(Microsoft Publisher)文档以及更标准的.doc文件。

研究人员检查了多个具有不同命名格式的文档。有些文档的命名格式为“invoice_<随机数>.pub”,其他的更类似于invoice_laspinasfoods.doc。从文件的元数据来看,这些文档应该是在过去的几天里创建的,并且目前仍有新的文档在被创建。

另外,Morphisec Labs还发现了针对西班牙用户的诱饵文档,它被命名为“comprobante.doc”(西班牙语,意为“凭证”),以及针对其他国家/地区的文档。在针对不同国家/地区的行动中,诱饵文档图片上的文字均被调整为对应的语言。



      西班牙语文档

     德语文档



对这场活动的深入调查显示,基于元数据和其他指标,同一个网络犯罪团伙在另一起行动中将RMS RAT作为了payload。RMS RAT是基于一个现成的、非商业化的库创建的,而这个库原本被设计用于分析代码中的异常。

无论如何,所有行动都开始于网络钓鱼电子邮件,旨在说服目标启用宏。攻击分多个阶段进行,最终目的是交付一个已签名的可执行RAT。

基于元数据,研究人员怀疑攻击背后的网络犯罪团伙是网络安全公司Proofpoint所描述的TA505。目前,Morphisec Labs已经向有关当局报告了这场活动的细节,以帮助他们捣毁攻击中使用的C&C服务器。目前,尚不清楚攻击者是否能够进一步渗透到供应链的上游。

关于作者

评论3次

要评论?请先  登录  或  注册
  • 3楼
    2018-12-10 14:29
    ssspider

    这个RAT现在很火 但还是没看到过逆向分析这个RAT 也不知到这个TA505是哪个国家的

    1

    我们的情报还不够丰富,太多apt组织我们都缺少信息知彼

  • 2楼
    2018-12-7 09:39
    ssspider

    这个RAT现在很火 但还是没看到过逆向分析这个RAT 也不知到这个TA505是哪个国家的

    1

    凡是不知道哪个国家的就挂名朝鲜,他们在网上没法喷。

  • 1楼
    2018-12-7 05:57

    这个RAT现在很火 但还是没看到过逆向分析这个RAT 也不知到这个TA505是哪个国家的