攻防最前线：黑客组织TA505武器库再添两款恶意软件

网络安全公司Proofpoint于近日发文称，在整个2018年里，黑客们越来越倾向于使用下载程序（Downloader）、后门程序（Backdoor）、信息窃取程序（Information Stealer）、远程访问木马程序（Remote Access Trojan，RAT）作为其恶意活动的主要有效载荷（Payload），而不是在2017年表现尤为活跃的勒索软件（Ransomware）。

在2018年11月份，老练且多产的黑客组织TA505就在其活动中使用了一种名为“ServHelper”的新后门。Proofpoint表示，TA505使用的ServHelper可分为两个变种：一个侧重于远程桌面功能，另一个主要被用作下载程序。此外，Proofpoint还观察到，被用作下载程序的ServHelper变种下载了一种被他们称之为“FlawedGrace”的已知恶意软件。

Proofpoint表示，FlawedGrace实际上是一种功能齐全的远程访问木马程序，首次被他们发现是在2017年11月份。现在，这个远程访问木马程序正在被TA505使用，针对的攻击目标似乎是银行、零售企业和餐厅。

11月9日的活动

在2018年11月9日，Proofpoint观察到了一场规模相对较小的垃圾电子邮件活动（共有数千条封电子邮件被发送），旨在传播上面提到的侧重于远程桌面功能的ServHelper恶意软件变种。该活动主要针对的是金融机构，并被Proofpoint认为是由TA505发起的。垃圾电子邮件（图1）是包含内嵌恶意宏代码的Microsoft Word或Publisher附件，当它被打开时，将下载并执行ServHelper恶意软件。

11月15日的活动

在2018年11月15日，Proofpoint观察到了另一场来自TA505的规模相对较大的垃圾电子邮件活动（共有数万封电子邮件被发送）。需要注意的是，除金融机构外，这场活动还针对了零售企业。垃圾电子邮件（图2）包含Microsoft“.doc”、“.pub”或“.wiz”附件。这些文档同样包含恶意宏代码，在被打开时，将下载并执行被用作下载程序的ServHelper恶意软件变种。

12月13日的“FlawedGrace”活动

在2018年12月13日，Proofpoint观察到了另一场针对零售企业和金融机构客户的大型ServHelper恶意软件活动。在这场活动中，TA505同时使用了多种方法来传播被用作下载程序的ServHelper恶意软件变种，包括直接在电子邮件正文中添加指向ServHelper可执行文件的恶意链接、使用包含内嵌恶意宏代码的Microsoft Word附件和包含恶意链接（指向虚假“Adobe PDF插件”下载页面）的PDF附件（图3）。

此外，在这场活动中，Proofpoint还观察到，被用作下载程序的ServHelper变种下载了上述提到的“FlawedGrace”恶意软件（图4）。

Proofpoint表示，出现在这场活动中的FlawedGrace是用才C++编写的，并使用了面向对象与多线程编程技术，这使得逆向工程和调试既困难又耗时。

FlawedGrace使用了一系列命令与它的命令和控制（C&C）服务器进行通信，预示着它具备多种恶意功能，如下所示：

• target_remove
• target_update
• target_reboot
• target_module_load
• target_module_load_external
• target_module_unload
• target_download
• target_upload
• target_rdp
• target_passwords
• target_servers
• target_script
• destroy_os
• desktop_stat

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。