TA505以运用歹意垃圾邮件和不同的歹意软件来进犯金融安排和零售企业而臭名远扬。研究人员在曩昔2个月检测到与TA505相关的进犯活动。在该安排的最近活动中,运用了HTML附件来传达歹意XLS文件,XLS文件会导致下载器和后门FlawedAmmyy,首要进犯韩国用户。
图1. TA505最新感染链
本文介绍与TA505相关的3个方面内容:
· 针对特定区域的最新进犯活动;
· 运用的技能和payload;
· 与该安排相关的可疑活动。
研究人员还对最新的TA505发展进行了剖析,包括邮件盗取器、运用合法软件和MSI装置器等。
针对拉美和东亚区域的攻最新击活动
前面也提到了TA505首要进犯金融企业。从2019年12月起,TA505就十分活泼,并运用合法或被黑的RAT(remote access trojans),比方FlawedAmmyy, FlawedGrace和Remote Manipulator System (RMS)。
在监控这些活动时,研究人员发现该安排仍然在更新其TTP(办法、技能和程序)。2019年4月,TA505运用FlawedAmmyy RAT和RMS RAT作为payload进犯了拉美国家智利和墨西哥以及意大利。研究人员了解到该安排也开始运用FlawedAmmyy RAT作为payload进犯东亚国家,比方我国、韩国和我国台湾区域。
TA505最近运用LOLbins和合法的Windows操作体系进程来履行歹意活动和传达payload。作为进犯的进口点,进犯者运用含有歹意excel或word文件的邮件。该安排之前就乱用Excel 4.0宏来绕过宏检测。
图2. 韩语(左)、简体中文(右)的微软office提示怎么启用宏
图3. Excel 4.0宏
宏会履行一个指令来运用msiexec.exe来下载之一阶段payload,msiexec.exe是一个合法的微软装置东西,能够下载和运转Windows装置文件。之一阶段payload是一个MSI装置器,是用EXE to MSI converter创立的。
图4. 用EXE to MSI converter创立的MSI Installer
实在的歹意payload其实是一个MSI Installer包。不同进犯活动中的payload是不同,其间最常运用的有FlawedAmmyy 下载器、ServHelper和RMS RAT 启动器。
Payload:FlawedAmmyy下载器
MSI Installer自身含有一个通过签名的FlawedAmmyy下载器。
图5. FlawedAmmyy下载器
图6. 通过签名的FlawedAmmyy下载器
下载器会查看受感染的机器是否运转在活动目录(Active Directory,AD) *** 中。然后运转net group /domain指令来查看workgroup是否包括在输出成果中。通过查看后,会下载RC4加密的FlawedAmmyy RAT,然后解密并作为最终的payload来履行。
研究人员最近也发现一些没有通过数字签名的FlawedAmmyy下载器的实例,但FlawedAmmyy RAT payload都是通过签名的。
Payload: ServHelper
ServHelper被分类为后门,但仍然能够作为FlawedGrace的下载器。假如MSI Installer包将ServHelper作为payload,就会有NSIS (Nullsoft Scriptable Install System) installer。
图7. NSIS Installer
NSIS是一个用来办理Windows体系中装置的东西,但该东西被一些黑客乱用了。比方,TA505就乱用NSIS来装置ServHelper。NSIS installer有两个文件:(nsExec.dll和repotaj.dll)和[NSIS].nsi。后者是处理要装置的文件的配置文件。
图8. NSIS Installer sections
在本例中,repotaj.dll便是ServHelper,会被提取到%TEMP% 目录下,并用feast参数作为导出函数来履行。ServHelper履行后,就会运转一个PowerShell脚原本从受感染的机器中获取信息。
Payload:RMS RAT
TA505在进犯活动中仍是用了合法的RAT——RMS。假如MSI Installer包括有RMS RAT作为payload,就包括一个自提的RAR。
图9. SFXRAR
该SFXRAR会提取出3个文件到%TEMP%,并履行其间一个文件。exit.exe 是 i.cmd的启动器,i.cmd重命名kernel.dll为uninstall.exe,然后用参数履行。
图10. SFXRAR提取的3个文件
[1][2]黑客接单网