1. 首页
  2. 网络安全新闻

黑客组织TA505攻击名单新增韩国、加拿大等国

近日,安全时代通过一篇文章披露了黑客组织TA505的最新活动,土耳其、塞尔维亚、罗马尼亚、韩国、加拿大、捷克和匈牙利已经成为了该组织的新目标。

黑客组织TA505攻击名单新增韩国、加拿大等国

文章指出,虽然TA505仍继续使用FlawedAmmyy RAT(远程访问木马)和ServHelper作为有效载荷,但在最新的9起攻击活动中,他们也做出了一些改变。比如,开始使用.ISO镜像文件、.NET下载程序以及恶意宏来作为传播媒介。

此外,TA505对FlawedAmmyy和ServHelper也进行了更新,其中就包括了一个FlawedAmmyy的.DLL版本。

TA505于7月中旬再次活跃起来,目标是土耳其和塞尔维亚的银行,以带有.ISO镜像文件附件的电子邮件作为恶意软件的传播媒介。

附件中的.ISO镜像文件包含一个.LNK文件,它能够使用命令行msiexec从一个URL(如hxxp://139[.]180[.]195[.]36/pm2)执行一个MSI文件。

此外,安全时代还发现了两个新的后门命令runmem和runmemxor,它们可以在内存中运行额外的.DLL命令。

  • shell:执行命令
  • runmem:在内存中下载.DLL并运行
  • runmemxor:下载XOR加密的.DLL并解密并运行
  • zakr:注册自动运行
  • slp:设置休眠时间
  • load:下载可执行文件并运行
  • loaddll:下载.DLL并运行
  • selfkill:卸载自己

在针对数千家韩国企业的活动中,安全时代同样发现了恶意.ISO附件,它们伪装成来自一家受欢迎航空公司的机票确认函。

此外,也有一些类似的垃圾电子邮件被发送到了中国,它们大都以“FedEx(联邦快递)”为主题,如快递异常、包裹丢失等。

email没有携带恶意附件,而是在正文中添加了一个恶意链接,旨在诱使收件人从hxxp://www.fedexdocs[.]top/fedex.doc或hxxp://www.fedexdocs[.]icu/fedex.doc下载一个名为“fedex.doc”的恶意文档。

嵌入在恶意文档中的VBA能够从hxxps://senddocs[.]icu/stelar.exe下载一个NSIS打包的可执行文件,进而安装ServHelper。

安全时代表示,他们到目前为止已经捕获到了大量的ServHelper样本,但其中有一些样本却似乎并不是出自TA505之手。最大的可能就是,ServHelper的源代码已经被出售给了其他黑客,而这些黑客正在进行恶意软件测试。

此外,从TA505对ServHelper和FlawedAmmyy所做的更改和调整来看,该组织也极有可能正在进行实验和测试,以确定那种形式的混淆可以更有效地绕过安全检测,从而提高感染的成功率。

文章来源:【安全时代】 原文链接:https://www.agesec.com/news/7223.html

安全时代全部内容仅适用于网络安全技术爱好者学习研究,学习中请遵循国家相关法律法规。

安全时代全部数据来源互联网,不代表安全时代立场,如侵犯您权益可邮箱联系我们,详情:版权纠纷

发表评论

电子邮件地址不会被公开。 必填项已用*标注