内容简介:网络安全公司Proofpoint于近日发文称,在整个2018年里,黑客们越来越倾向于使用下载程序(Downloader)、后门程序(Backdoor)、信息窃取程序(Information Stealer)、远程访问木马程序(Remote Access Trojan,RAT)作为其恶意活动的主要有效载荷(Payload),而不是在2017年表现尤为活跃的勒索软件(Ransomware)。在2018年11月份,老练且多产的黑客组织TA505就在其活动中使用了一种名为“ServHelper”的新后门。Proof
网络安全公司Proofpoint于近日发文称,在整个2018年里,黑客们越来越倾向于使用下载程序(Downloader)、后门程序(Backdoor)、信息窃取程序(Information Stealer)、远程访问木马程序(Remote Access Trojan,RAT)作为其恶意活动的主要有效载荷(Payload),而不是在2017年表现尤为活跃的勒索软件(Ransomware)。
在2018年11月份,老练且多产的黑客组织TA505就在其活动中使用了一种名为“ServHelper”的新后门。Proofpoint表示,TA505使用的ServHelper可分为两个变种:一个侧重于远程桌面功能,另一个主要被用作下载程序。此外,Proofpoint还观察到,被用作下载程序的ServHelper变种下载了一种被他们称之为“FlawedGrace”的已知恶意软件。
Proofpoint表示,FlawedGrace实际上是一种功能齐全的远程访问木马程序,首次被他们发现是在2017年11月份。现在,这个远程访问木马程序正在被TA505使用,针对的攻击目标似乎是银行、零售企业和餐厅。
11月9日的活动
在2018年11月9日,Proofpoint观察到了一场规模相对较小的垃圾电子邮件活动(共有数千条封电子邮件被发送),旨在传播上面提到的侧重于远程桌面功能的ServHelper恶意软件变种。该活动主要针对的是金融机构,并被Proofpoint认为是由TA505发起的。垃圾电子邮件(图1)是包含内嵌恶意宏代码的Microsoft Word或Publisher附件,当它被打开时,将下载并执行ServHelper恶意软件。
11月15日的活动
在2018年11月15日,Proofpoint观察到了另一场来自TA505的规模相对较大的垃圾电子邮件活动(共有数万封电子邮件被发送)。需要注意的是,除金融机构外,这场活动还针对了零售企业。垃圾电子邮件(图2)包含Microsoft“.doc”、“.pub”或“.wiz”附件。这些文档同样包含恶意宏代码,在被打开时,将下载并执行被用作下载程序的ServHelper恶意软件变种。
12月13日的“FlawedGrace”活动
在2018年12月13日,Proofpoint观察到了另一场针对零售企业和金融机构客户的大型ServHelper恶意软件活动。在这场活动中,TA505同时使用了多种方法来传播被用作下载程序的ServHelper恶意软件变种,包括直接在电子邮件正文中添加指向ServHelper可执行文件的恶意链接、使用包含内嵌恶意宏代码的Microsoft Word附件和包含恶意链接(指向虚假“Adobe PDF插件”下载页面)的PDF附件(图3)。
此外,在这场活动中,Proofpoint还观察到,被用作下载程序的ServHelper变种下载了上述提到的“FlawedGrace”恶意软件(图4)。
Proofpoint表示,出现在这场活动中的FlawedGrace是用才C++编写的,并使用了面向对象与多线程编程技术,这使得逆向工程和调试既困难又耗时。
FlawedGrace使用了一系列命令与它的命令和控制(C&C)服务器进行通信,预示着它具备多种恶意功能,如下所示:
- target_remove
- target_update
- target_reboot
- target_module_load
- target_module_load_external
- target_module_unload
- target_download
- target_upload
- target_rdp
- target_passwords
- target_servers
- target_script
- destroy_os
- desktop_stat
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- 黑客武器库:黑产工具大盘点
- 【技术分享】NSA武器库之Eclipsedwing复现
- 被遗漏的0day?APT-C-06组织另一网络武器库分析揭秘
- Waterbug间谍组织不断扩充其武器库,还劫持了Oilrig黑客组织的基础设施
- 攻防系统之攻防环境介绍&搭建
- 勒索病毒攻防演练
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。