TA505网络间谍组织主要针对全球金融机构进行打击,自2014年以来就一直连结活跃状态,在过去的几年里,该组织已经通过操作银行木马Dridex以及勒索软件Locky和Jaff作为打击工具告成倡议了多起大型的网络打击勾当。亚信安适一直密切存眷该组织的动向。
在过去几周内,亚信安适研究人员发明,该组织针对阿联酋、沙特阿拉伯、印度、日本、阿根廷、菲律宾和韩国策动打击勾当。与以往差此外是,在针对亚洲国家的打击勾当中,TA505主要使用了新型恶意软件Gelup(亚信安适将其定名为*.Win32.GELUP.A)和FlowerPippi(亚信安适将其定名为Backdoor.Win32.FLOWERPIPPI.A)。
针对中东地区打击勾当分析
6月11日,TA505网络间谍组织针对阿联酋,沙特阿拉伯和摩洛哥策动了垃圾邮件打击勾当,本次打击勾当使用的垃圾邮件附件是.html或者.xls文件。附件HTML文件运行后,首先会下载包罗恶意Excel 4.0宏的Excel文件,执行恶意宏以后,其会下载FlawedAmmyy安置包文件并安置FlawedAmmyy RAT。
【垃圾邮件打击流程图】
如果附件是.xls文件,该文件自身会包罗恶意Excel 4.0宏代码,其运行后同样是下载FlawedAmmyy安置包文件并安置FlawedAmmyy RAT。
【TA505打击中东国家邮件样本】
6月13日,亚信安适研究人员再次截获垃圾邮件打击样本,这些垃圾邮件附件除了包罗之前的.html和.excel文件,还增加了.doc文件。
【HTML文件下载恶意文档的代码截图】
6月14日,研究人员看到TA505连续对阿联酋进行打击,其使用的打击手段及技术与之前的类似,这次打击是通过Amadey僵尸网络发送垃圾邮件,其使用了Wizard(.wiz)文件,最终的方针仍然是下载安置FlawedAmmyy RAT。
【6月14日截获的垃圾邮件样本】
6月18日,研究人员截获的垃圾邮件主题大多具有诱惑性,欺骗用户点击,如“您的RAKBANK税务发票”、“免税额度”或者“确认函”。其附件同样是使用上述.html文件,带有恶意宏的Excel或者Word文档,最终目的是下载安置FlawedAmmyy RAT和Amadey。随后其会传送“EmailStealer”信息窃取措施,在受害者的机器中窃取邮件传输协议(SMTP)根据和电子邮件地点。
研究人员在其C&C处事器上发明了至少数百个SMTP根据,赶过一百万个电子邮件地点,这些邮件地点中80%是.com或.ae*域名。
【6月18日截获的垃圾邮件样本】
针对亚洲打击勾当分析
6月17日,亚信安适研究人员截获了大量针对亚洲银行策动的垃圾邮件打击勾当,这些邮件使用“阿联酋航空NBD电子声明”或者“签证打消”等主题诱骗用户点击邮件附件,邮件附件是嵌入恶意措施的Excel文件。运行后,其会下载ServHelper加载器。
【6月17日截获的打击亚洲银行的垃圾邮件样本】
6月20日,研究人员再次截获针对日本、菲律宾和阿根廷策动的垃圾邮件打击勾当,邮件附件同样是带有宏病毒的.doc和.xls文件,差此外是宏病毒最终会下载未果然的恶意软件FlowerPippi和Gelup。Gelup恶意软件使用C++编写,其与众差别之处是混淆技术和UAC绕过成果,可以有效阻止静态和动态调试分析。FlowerPippi则具有后门和下载成果。
就在同一天,研究人员还截获了针对韩国策动的垃圾邮件打击勾当,与之前打击勾当差此外是,这次邮件中并不包罗附件,而是在邮件正文中嵌入了恶意URL,一旦用户访谒恶意URL,其会下载包罗宏病毒的.doc和.xls文件,最终的目的同样是下载FlawedAmmyy RAT。
【6月20日截获的打击韩国垃圾邮件样本】
亚信安适教你如何防止