TA505網(wǎng)絡(luò)間諜組織主要針對全球金融機構(gòu)進行攻擊，自2014年以來就一直保持活躍狀態(tài)，在過去的幾年里，該組織已經(jīng)通過利用銀行木馬Dridex以及勒索軟件Locky和Jaff作為攻擊工具成功發(fā)起了多起大型的網(wǎng)絡(luò)攻擊活動。亞信安全一直密切關(guān)注該組織的動向。
 
在過去幾周內(nèi)，亞信安全研究人員發(fā)現(xiàn)，該組織針對阿聯(lián)酋、沙特阿拉伯、印度、日本、阿根廷、菲律賓和韓國發(fā)動攻擊活動。與以往不同的是，在針對亞洲國家的攻擊活動中，TA505主要使用了新型惡意軟件Gelup（亞信安全將其命名為Trojan.Win32.GELUP.A）和FlowerPippi（亞信安全將其命名為Backdoor.Win32.FLOWERPIPPI.A）。
 
針對中東地區(qū)攻擊活動分析
 
6月11日，TA505網(wǎng)絡(luò)間諜組織針對阿聯(lián)酋，沙特阿拉伯和摩洛哥發(fā)動了垃圾郵件攻擊活動，本次攻擊活動使用的垃圾郵件附件是.html或者.xls文件。附件HTML文件運行后，首先會下載包含惡意Excel 4.0宏的Excel文件，執(zhí)行惡意宏以后，其會下載FlawedAmmyy安裝包文件并安裝FlawedAmmyy RAT。
 

【垃圾郵件攻擊流程圖】

 
如果附件是.xls文件，該文件自身會包含惡意Excel 4.0宏代碼，其運行后同樣是下載FlawedAmmyy安裝包文件并安裝FlawedAmmyy RAT。
 

【TA505攻擊中東國家郵件樣本】

 
6月13日，亞信安全研究人員再次截獲垃圾郵件攻擊樣本，這些垃圾郵件附件除了包含之前的.html和.excel文件，還增加了.doc文件。
 

【HTML文件下載惡意文檔的代碼截圖】

 
6月14日，研究人員看到TA505持續(xù)對阿聯(lián)酋進行攻擊，其使用的攻擊手段及技術(shù)與之前的類似，此次攻擊是通過Amadey僵尸網(wǎng)絡(luò)發(fā)送垃圾郵件，其使用了Wizard(.wiz)文件，最終的目標仍然是下載安裝FlawedAmmyy RAT。
 

 

【6月14日截獲的垃圾郵件樣本】

 
6月18日，研究人員截獲的垃圾郵件主題大多具有誘惑性，欺騙用戶點擊，如“您的RAKBANK稅務(wù)發(fā)票”、“免稅額度”或者“確認函”。其附件同樣是使用上述.html文件，帶有惡意宏的Excel或者Word文檔，最終目的是下載安裝FlawedAmmyy RAT和Amadey。隨后其會傳送“EmailStealer”信息竊取程序，在受害者的機器中竊取郵件傳輸協(xié)議（SMTP）憑據(jù)和電子郵件地址。
 
研究人員在其C&C服務(wù)器上發(fā)現(xiàn)了至少數(shù)百個SMTP憑據(jù)，超過一百萬個電子郵件地址，這些郵件地址中80%是.com或.ae頂級域名。
 

【6月18日截獲的垃圾郵件樣本】

 
針對亞洲攻擊活動分析
 
6月17日，亞信安全研究人員截獲了大量針對亞洲銀行發(fā)動的垃圾郵件攻擊活動，這些郵件使用“阿聯(lián)酋航空NBD電子聲明”或者“簽證取消”等主題誘騙用戶點擊郵件附件，郵件附件是嵌入惡意程序的Excel文件。運行后，其會下載ServHelper加載器。
 

【6月17日截獲的攻擊亞洲銀行的垃圾郵件樣本】

 
6月20日，研究人員再次截獲針對日本、菲律賓和阿根廷發(fā)動的垃圾郵件攻擊活動，郵件附件同樣是帶有宏病毒的.doc和.xls文件，不同的是宏病毒最終會下載未公開的惡意軟件FlowerPippi和Gelup。Gelup惡意軟件使用C++編寫，其與眾不同之處是混淆技術(shù)和UAC繞過功能，可以有效阻止靜態(tài)和動態(tài)調(diào)試分析。FlowerPippi則具有后門和下載功能。

就在同一天，研究人員還截獲了針對韓國發(fā)動的垃圾郵件攻擊活動，與之前攻擊活動不同的是，此次郵件中并不包含附件，而是在郵件正文中嵌入了惡意URL，一旦用戶訪問惡意URL，其會下載包含宏病毒的.doc和.xls文件，最終的目的同樣是下載FlawedAmmyy RAT。

【6月20日截獲的攻擊韓國垃圾郵件樣本】

 
亞信安全教你如何防范
 

•  不要點擊來源不明的郵件以及附件；

•  不要點擊來源不明的郵件中包含的鏈接；

•  采用高強度的密碼，避免使用弱口令密碼，并定期更換密碼；

•  打開系統(tǒng)自動更新，并檢測更新進行安裝；

•  盡量關(guān)閉不必要的文件共享；

•  請注意備份重要文檔。備份的最佳做法是采取3-2-1規(guī)則，即至少做三個副本，用兩種不同格式保存，并將副本放在異地存儲。

 
亞信安全解決方案

亞信安全病毒碼版本15.233.60，云病毒碼版本15.233.71，全球碼版本15.233.00已經(jīng)可以檢測，請用戶及時升級病毒碼版本。

總結(jié)：亞信安全研究人員發(fā)現(xiàn)，TA505網(wǎng)絡(luò)間諜組織的活動范圍和攻擊規(guī)模很廣泛，從勒索軟件到信息竊取木馬，以及后門程序等，其可以提供多種威脅。而且該組織在技術(shù)上不斷變化更新，攻擊目標也在不斷擴大，給用戶造成了極大威脅。
 
TA505網(wǎng)絡(luò)間諜組織的主要攻擊手段是發(fā)動垃圾郵件攻擊，亞信安全建議用戶通過部署網(wǎng)關(guān)類產(chǎn)品作為第一道防線，在源頭上進行阻斷；桌面防護產(chǎn)品可以有效阻止威脅到達客戶端；人員安全意識培訓(xùn)也是必不可少的環(huán)節(jié)。

標簽： TA505 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。