TA505網(wǎng)絡(luò)間諜組織主要針對(duì)全球金融機(jī)構(gòu)進(jìn)行攻擊，自2014年以來(lái)就一直保持活躍狀態(tài)，在過(guò)去的幾年里，該組織已經(jīng)通過(guò)利用銀行木馬Dridex以及勒索軟件Locky和Jaff作為攻擊工具成功發(fā)起了多起大型的網(wǎng)絡(luò)攻擊活動(dòng)。亞信安全一直密切關(guān)注該組織的動(dòng)向。
 
在過(guò)去幾周內(nèi)，亞信安全研究人員發(fā)現(xiàn)，該組織針對(duì)阿聯(lián)酋、沙特阿拉伯、印度、日本、阿根廷、菲律賓和韓國(guó)發(fā)動(dòng)攻擊活動(dòng)。與以往不同的是，在針對(duì)亞洲國(guó)家的攻擊活動(dòng)中，TA505主要使用了新型惡意軟件Gelup（亞信安全將其命名為Trojan.Win32.GELUP.A）和FlowerPippi（亞信安全將其命名為Backdoor.Win32.FLOWERPIPPI.A）。
 
針對(duì)中東地區(qū)攻擊活動(dòng)分析
 
6月11日，TA505網(wǎng)絡(luò)間諜組織針對(duì)阿聯(lián)酋，沙特阿拉伯和摩洛哥發(fā)動(dòng)了垃圾郵件攻擊活動(dòng)，本次攻擊活動(dòng)使用的垃圾郵件附件是.html或者.xls文件。附件HTML文件運(yùn)行后，首先會(huì)下載包含惡意Excel 4.0宏的Excel文件，執(zhí)行惡意宏以后，其會(huì)下載FlawedAmmyy安裝包文件并安裝FlawedAmmyy RAT。
 

【垃圾郵件攻擊流程圖】

 
如果附件是.xls文件，該文件自身會(huì)包含惡意Excel 4.0宏代碼，其運(yùn)行后同樣是下載FlawedAmmyy安裝包文件并安裝FlawedAmmyy RAT。
 

【TA505攻擊中東國(guó)家郵件樣本】

 
6月13日，亞信安全研究人員再次截獲垃圾郵件攻擊樣本，這些垃圾郵件附件除了包含之前的.html和.excel文件，還增加了.doc文件。
 

【HTML文件下載惡意文檔的代碼截圖】

 
6月14日，研究人員看到TA505持續(xù)對(duì)阿聯(lián)酋進(jìn)行攻擊，其使用的攻擊手段及技術(shù)與之前的類似，此次攻擊是通過(guò)Amadey僵尸網(wǎng)絡(luò)發(fā)送垃圾郵件，其使用了Wizard(.wiz)文件，最終的目標(biāo)仍然是下載安裝FlawedAmmyy RAT。
 

 

【6月14日截獲的垃圾郵件樣本】

 
6月18日，研究人員截獲的垃圾郵件主題大多具有誘惑性，欺騙用戶點(diǎn)擊，如“您的RAKBANK稅務(wù)發(fā)票”、“免稅額度”或者“確認(rèn)函”。其附件同樣是使用上述.html文件，帶有惡意宏的Excel或者Word文檔，最終目的是下載安裝FlawedAmmyy RAT和Amadey。隨后其會(huì)傳送“EmailStealer”信息竊取程序，在受害者的機(jī)器中竊取郵件傳輸協(xié)議（SMTP）憑據(jù)和電子郵件地址。
 
研究人員在其C&C服務(wù)器上發(fā)現(xiàn)了至少數(shù)百個(gè)SMTP憑據(jù)，超過(guò)一百萬(wàn)個(gè)電子郵件地址，這些郵件地址中80%是.com或.ae頂級(jí)域名。
 

【6月18日截獲的垃圾郵件樣本】

 
針對(duì)亞洲攻擊活動(dòng)分析
 
6月17日，亞信安全研究人員截獲了大量針對(duì)亞洲銀行發(fā)動(dòng)的垃圾郵件攻擊活動(dòng)，這些郵件使用“阿聯(lián)酋航空NBD電子聲明”或者“簽證取消”等主題誘騙用戶點(diǎn)擊郵件附件，郵件附件是嵌入惡意程序的Excel文件。運(yùn)行后，其會(huì)下載ServHelper加載器。
 

【6月17日截獲的攻擊亞洲銀行的垃圾郵件樣本】

 
6月20日，研究人員再次截獲針對(duì)日本、菲律賓和阿根廷發(fā)動(dòng)的垃圾郵件攻擊活動(dòng)，郵件附件同樣是帶有宏病毒的.doc和.xls文件，不同的是宏病毒最終會(huì)下載未公開(kāi)的惡意軟件FlowerPippi和Gelup。Gelup惡意軟件使用C++編寫，其與眾不同之處是混淆技術(shù)和UAC繞過(guò)功能，可以有效阻止靜態(tài)和動(dòng)態(tài)調(diào)試分析。FlowerPippi則具有后門和下載功能。

就在同一天，研究人員還截獲了針對(duì)韓國(guó)發(fā)動(dòng)的垃圾郵件攻擊活動(dòng)，與之前攻擊活動(dòng)不同的是，此次郵件中并不包含附件，而是在郵件正文中嵌入了惡意URL，一旦用戶訪問(wèn)惡意URL，其會(huì)下載包含宏病毒的.doc和.xls文件，最終的目的同樣是下載FlawedAmmyy RAT。

【6月20日截獲的攻擊韓國(guó)垃圾郵件樣本】

 
亞信安全教你如何防范
 

•  不要點(diǎn)擊來(lái)源不明的郵件以及附件；

•  不要點(diǎn)擊來(lái)源不明的郵件中包含的鏈接；

•  采用高強(qiáng)度的密碼，避免使用弱口令密碼，并定期更換密碼；

•  打開(kāi)系統(tǒng)自動(dòng)更新，并檢測(cè)更新進(jìn)行安裝；

•  盡量關(guān)閉不必要的文件共享；

•  請(qǐng)注意備份重要文檔。備份的最佳做法是采取3-2-1規(guī)則，即至少做三個(gè)副本，用兩種不同格式保存，并將副本放在異地存儲(chǔ)。

 
亞信安全解決方案

亞信安全病毒碼版本15.233.60，云病毒碼版本15.233.71，全球碼版本15.233.00已經(jīng)可以檢測(cè)，請(qǐng)用戶及時(shí)升級(jí)病毒碼版本。

總結(jié)：亞信安全研究人員發(fā)現(xiàn)，TA505網(wǎng)絡(luò)間諜組織的活動(dòng)范圍和攻擊規(guī)模很廣泛，從勒索軟件到信息竊取木馬，以及后門程序等，其可以提供多種威脅。而且該組織在技術(shù)上不斷變化更新，攻擊目標(biāo)也在不斷擴(kuò)大，給用戶造成了極大威脅。
 
TA505網(wǎng)絡(luò)間諜組織的主要攻擊手段是發(fā)動(dòng)垃圾郵件攻擊，亞信安全建議用戶通過(guò)部署網(wǎng)關(guān)類產(chǎn)品作為第一道防線，在源頭上進(jìn)行阻斷；桌面防護(hù)產(chǎn)品可以有效阻止威脅到達(dá)客戶端；人員安全意識(shí)培訓(xùn)也是必不可少的環(huán)節(jié)。

標(biāo)簽： TA505 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。