歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

TA505在最新攻擊活動中使用HTML, RAT和其他技術

來源:本站整理 作者:佚名 時間:2019-06-18 TAG: 我要投稿

TA505以使用惡意垃圾郵件和不同的惡意軟件來攻擊金融組織和零售企業而臭名昭著。研究人員在過去2個月檢測到與TA505相關的攻擊活動。在該組織的最近活動中,使用了HTML附件來傳播惡意XLS文件,XLS文件會導致下載器和后門FlawedAmmyy,主要攻擊韓國用戶。

圖1. TA505最新感染鏈
本文介紹與TA505相關的3個方面內容:
· 針對特定區域的最新攻擊活動;
· 使用的技術和payload;
· 與該組織相關的可疑活動。
研究人員還對最新的TA505進展進行了分析,包括郵件竊取器、使用合法軟件和MSI安裝器等。
針對拉美和東亞地區的攻最新擊活動
前面也提到了TA505主要攻擊金融企業。從2018年12月起,TA505就非常活躍,并使用合法或被黑的RAT(remote access trojans),比如FlawedAmmyy, FlawedGrace和Remote Manipulator System (RMS)。
在監控這些活動時,研究人員發現該組織仍然在更新其TTP(方法、技術和程序)。2019年4月,TA505使用FlawedAmmyy RAT和RMS RAT作為payload攻擊了拉美國家智利和墨西哥以及意大利。研究人員了解到該組織也開始使用FlawedAmmyy RAT作為payload攻擊東亞國家,比如中國、韓國和中國臺灣地區。
TA505最近使用LOLbins和合法的Windows操作系統進程來執行惡意活動和傳播payload。作為攻擊的入口點,攻擊者使用含有惡意excel或word文件的郵件。該組織之前就濫用Excel 4.0宏來繞過宏檢測。

圖2. 韓語(左)、簡體中文(右)的微軟office提示如何啟用宏

圖3. Excel 4.0宏
宏會執行一個命令來使用msiexec.exe來下載第一階段payload,msiexec.exe是一個合法的微軟安裝工具,可以下載和運行Windows安裝文件。第一階段payload是一個MSI安裝器,是用EXE to MSI converter創建的。

圖4. 用EXE to MSI converter創建的MSI Installer
真實的惡意payload其實是一個MSI Installer包。不同攻擊活動中的payload是不同,其中最常使用的有FlawedAmmyy 下載器、ServHelper和RMS RAT 啟動器。
Payload:FlawedAmmyy下載器
MSI Installer本身含有一個經過簽名的FlawedAmmyy下載器。

圖5. FlawedAmmyy下載器

圖6. 經過簽名的FlawedAmmyy下載器
下載器會檢查受感染的機器是否運行在活動目錄(Active Directory,AD)網絡中。然后運行net group /domain命令來檢查workgroup是否包含在輸出結果中。經過檢查后,會下載RC4加密的FlawedAmmyy RAT,然后解密并作為最后的payload來執行。
研究人員最近也發現一些沒有經過數字簽名的FlawedAmmyy下載器的實例,但FlawedAmmyy RAT payload都是經過簽名的。
Payload: ServHelper
ServHelper被分類為后門,但仍然可以作為FlawedGrace的下載器。如果MSI Installer包將ServHelper作為payload,就會有NSIS (Nullsoft Scriptable Install System) installer。

圖7. NSIS Installer
NSIS是一個用來管理Windows系統中安裝的工具,但該工具被一些黑客濫用了。比如,TA505就濫用NSIS來安裝ServHelper。NSIS installer有兩個文件:(nsExec.dll和repotaj.dll)和[NSIS].nsi。后者是處理要安裝的文件的配置文件。

圖8. NSIS Installer sections
在本例中,repotaj.dll就是ServHelper,會被提取到%TEMP% 目錄下,并用feast參數作為導出函數來執行。ServHelper執行后,就會運行一個PowerShell腳本來從受感染的機器中獲取信息。
Payload:RMS RAT
TA505在攻擊活動中還是用了合法的RAT——RMS。如果MSI Installer包含有RMS RAT作為payload,就包含一個自提的RAR。

圖9. SFXRAR
該SFXRAR會提取出3個文件到%TEMP%,并執行其中一個文件。exit.exe 是 i.cmd的啟動器,i.cmd重命名kernel.dll為uninstall.exe,然后用參數執行。

圖10. SFXRAR提取的3個文件

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视