全球顶级黑客组织巡礼——TA505新武器Gelup和FlowerPippi

博狗888体育

据趋势科技研究人员称,恶意垃圾邮件活动正在分发新的恶意软件,威胁行为者使用Gelup下载器和FlowerPippi后门来瞄准中东,日本,印度,菲律宾和阿根廷的实体。

a08a2e7b-3369-416a-b0f1-6a92f3a87f39

趋势科技的研究人员认为,这些垃圾邮件活动与臭名昭着的TA505黑客组织有着千丝万缕的联系,据推测,自今年6月以来,该组织已将这些新的Gelup和FlowerPippi工具添加到其军火库中。

TA505黑客组织

TA505是Proofpoint追踪的第一个网络犯罪组织。全球金融机构主要是为了窃取资金而进行攻击和进行经济犯罪活动。以传播Dridex和Locky等恶意样本而臭名昭着。后来,该研究发现该组织可能来自东俄语为东欧主要语言的国家。

自去年12月以来,TA505变得非常活跃,使用合法或受感染的RAT(远程访问特洛伊木马),如FlawedAmmyy,FlawedGrace和远程控制系统(RMS)。今年4月,TA505针对拉丁美洲国家智利和墨西哥以及意大利,使用FlawedAmmyy RAT或RMS RAT的恶意有效载荷; 4月底,该组织开始瞄准东亚,如中国,台湾省,韩国。有效载荷仍然是FlawedAmmyy RAT。

3a7654da-8735-48f2-b8d0-c51c6e05fe9a

TA505的主要功能包括:

目标明确仅针对企业内部的一些特定帐户进行网络钓鱼;恶意代码通过签名验证这是一个额外的预防措施,以避免被发现;从攻击的时间点开始仔细规划并且可以看到恶意代码的签名可选的持久性机制基于自动发现来选择是否自毁。

攻击过程

自2019年以来,显而易见的是,最广泛使用和最有效的恶意软件攻击媒介仍然是电子邮件,这一行动也不例外。

TA505使用包含.DOC和.XLS文档的垃圾邮件作为附件来传播其新的恶意软件。受害者打开恶意附件,并通过执行VBA宏命令在受感染的计算机上部署恶意负载。据趋势科技称,少数垃圾邮件样本也使用恶意URL欺骗受害者下载他们通常的FlawedAmmyy RAT。

65a01f18-92cb-4f6a-a691-b190cd10166a

垃圾邮件示例(来自Proofpoint)

新发现的Gelup恶意软件下载器最有趣的特性是它使用混淆和UAC旁路技术,“模拟可信目录,滥用自动授权的可执行文件,以及使用动态链接库(DLL)侧载技术。”

正如趋势科技在其技术分析报告中所解释的那样,Gelup的开发人员添加了各种阻碍静态和动态分析的技术,以及使感染过程更难以跟踪的多个部署步骤。

这取决于它拥有的用户权限。

a478bd78-c825-4e7f-bb99-d2eb5e3d664f

Gelup命令(来自趋势科技)

On the other hand, FlowerPippi is the second malware recently deployed by the TA505. It also provides downloading skills based on the backdoor functionality, enabling it to deploy more executable binary or DLL files on infected systems. Malicious payload.

As Trend Micro further points out, the backdoor is used to collect and leak data information from the victim's device and run any commands received from its Command and Control (C2) server.

85f4e6e0-6e3f-4e8d-bc35-54769f1b50ab

FlowerPippi command (from Trend Micro)

Security advice

Do not open e-mails and unfamiliar documents from unknown sources, and do not use the "document preview" mode of the mailbox to view documents, because documents with malicious code may also be triggered in preview mode; ensure that the document is opened with security software enabled. The document carries macros. Please try to avoid enabling macros. Use genuine and reliable security software to intercept such attacks and protect personal data and property.

xx