疑似黑客组织TA505再出手，在新的活动中传播多种远控木马

Morphisec Labs的研究人员在上周发现了一场大范围的网络攻击活动，同时针对了多个目标。研究人员将这场活动命名为“Pied Piper（花衣魔笛手）”，因为它通过网络钓鱼在多个国家/地区交付了多种远程访问木马（RAT）。

其中一起行动交付了FlawedAmmyy RAT。这个木马病毒可以让攻击者完全控制受害者的PC，允许他们窃取文件和凭证、抓取屏幕截图，以及访问摄像头和麦克风。另外，它还为攻击者在网络中横向移动提供了一个立足点，并作为供应链攻击的潜在入口点。

研究人员表示，这场活动如果顺利执行，则可能会影响到几家知名食品连锁店的供应商，包括Godiva Chocolates、Yogurtland和Pinkberry。另外，如果C&C服务器最终没有被捣毁，那么还会有其他的目标很快会被攻击。

FlawedAmmyy RAT的使用量在过去的几个月里出现了大幅飙升，并在上个月进入了Check Point全球威胁指数（Checkpoint Global Threat Index）的前10名。正如Check Point的研究人员在去年3月份所披露的那样，该恶意软件是基于遭泄露的Ammyy管理远程桌面软件的源代码创建的。

研究人员表示，“Pied Piper”活动与早前旨在交付FlawedAmmyy RAT的网络钓鱼活动非常类似。诱饵文档包含了相同的彩色图片，诱使受害者使用宏来查看Microsoft Office文档。在这场最新的活动中，攻击者使用了武器化的.pub（Microsoft Publisher）文档以及更标准的.doc文件。

研究人员检查了多个具有不同命名格式的文档。有些文档的命名格式为“invoice_<随机数>.pub”，其他的更类似于invoice_laspinasfoods.doc。从文件的元数据来看，这些文档应该是在过去的几天里创建的，并且目前仍有新的文档在被创建。

另外，Morphisec Labs还发现了针对西班牙用户的诱饵文档，它被命名为“comprobante.doc”（西班牙语，意为“凭证”），以及针对其他国家/地区的文档。在针对不同国家/地区的行动中，诱饵文档图片上的文字均被调整为对应的语言。

西班牙语文档

德语文档

对这场活动的深入调查显示，基于元数据和其他指标，同一个网络犯罪团伙在另一起行动中将RMS RAT作为了payload。RMS RAT是基于一个现成的、非商业化的库创建的，而这个库原本被设计用于分析代码中的异常。

无论如何，所有行动都开始于网络钓鱼电子邮件，旨在说服目标启用宏。攻击分多个阶段进行，最终目的是交付一个已签名的可执行RAT。

基于元数据，研究人员怀疑攻击背后的网络犯罪团伙是网络安全公司Proofpoint所描述的TA505。目前，Morphisec Labs已经向有关当局报告了这场活动的细节，以帮助他们捣毁攻击中使用的C&C服务器。目前，尚不清楚攻击者是否能够进一步渗透到供应链的上游。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。