Morphisec Labs的研究人员在上周发现了一场大范围的网络攻击活动,同时针对了多个目标。研究人员将这场活动命名为“Pied Piper(花衣魔笛手)”,因为它通过网络钓鱼在多个国家/地区交付了多种远程访问木马(RAT)。
其中一起行动交付了FlawedAmmyy RAT。这个木马病毒可以让攻击者完全控制受害者的PC,允许他们窃取文件和凭证、抓取屏幕截图,以及访问摄像头和麦克风。另外,它还为攻击者在网络中横向移动提供了一个立足点,并作为供应链攻击的潜在入口点。
研究人员表示,这场活动如果顺利执行,则可能会影响到几家知名食品连锁店的供应商,包括Godiva Chocolates、Yogurtland和Pinkberry。另外,如果C&C服务器最终没有被捣毁,那么还会有其他的目标很快会被攻击。
FlawedAmmyy RAT的使用量在过去的几个月里出现了大幅飙升,并在上个月进入了Check Point全球威胁指数(Checkpoint Global Threat Index)的前10名。正如Check Point的研究人员在去年3月份所披露的那样,该恶意软件是基于遭泄露的Ammyy管理远程桌面软件的源代码创建的。
研究人员表示,“Pied Piper”活动与早前旨在交付FlawedAmmyy RAT的网络钓鱼活动非常类似。诱饵文档包含了相同的彩色图片,诱使受害者使用宏来查看Microsoft Office文档。在这场最新的活动中,攻击者使用了武器化的.pub(Microsoft Publisher)文档以及更标准的.doc文件。
研究人员检查了多个具有不同命名格式的文档。有些文档的命名格式为“invoice_<随机数>.pub”,其他的更类似于invoice_laspinasfoods.doc。从文件的元数据来看,这些文档应该是在过去的几天里创建的,并且目前仍有新的文档在被创建。
另外,Morphisec Labs还发现了针对西班牙用户的诱饵文档,它被命名为“comprobante.doc”(西班牙语,意为“凭证”),以及针对其他国家/地区的文档。在针对不同国家/地区的行动中,诱饵文档图片上的文字均被调整为对应的语言。
西班牙语文档
德语文档
对这场活动的深入调查显示,基于元数据和其他指标,同一个网络犯罪团伙在另一起行动中将RMS RAT作为了payload。RMS RAT是基于一个现成的、非商业化的库创建的,而这个库原本被设计用于分析代码中的异常。
无论如何,所有行动都开始于网络钓鱼电子邮件,旨在说服目标启用宏。攻击分多个阶段进行,最终目的是交付一个已签名的可执行RAT。
基于元数据,研究人员怀疑攻击背后的网络犯罪团伙是网络安全公司Proofpoint所描述的TA505。目前,Morphisec Labs已经向有关当局报告了这场活动的细节,以帮助他们捣毁攻击中使用的C&C服务器。目前,尚不清楚攻击者是否能够进一步渗透到供应链的上游。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。
以上所述就是小编给大家介绍的《疑似黑客组织TA505再出手,在新的活动中传播多种远控木马》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 疑似MuddyWater最新攻击活动分析
- ikun 潜入?疑似 B 站后台源码泄露
- 小米疑似误推送“MIUI 11”,已火速撤包
- 疑似国内某知名团伙的最新挖矿脚本分析
- 勒索软件Ryuk幕后主使者疑似来自俄罗斯
- 某疑似针对中东地区的APT攻击事件分析
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
挑战程序设计竞赛
秋叶拓哉、岩田阳一、北川宜稔 / 巫泽俊、庄俊元、李津羽 / 人民邮电出版社 / 2013-7-1 / CNY 79.00
世界顶级程序设计高手的经验总结 【ACM-ICPC全球总冠军】巫泽俊主译 日本ACM-ICPC参赛者人手一册 本书对程序设计竞赛中的基础算法和经典问题进行了汇总,分为准备篇、初级篇、中级篇与高级篇4章。作者结合自己丰富的参赛经验,对严格筛选的110 多道各类试题进行了由浅入深、由易及难的细致讲解,并介绍了许多实用技巧。每章后附有习题,供读者练习,巩固所学。 本书适合程序设计......一起来看看 《挑战程序设计竞赛》 这本书的介绍吧!