當前位置:首頁 > 安全 >

TA505網絡間諜組織對中東、亞洲多國發動新型攻擊

公布时间:2019-07-24 17:27:27 來源:中國軟件網 作者:鳴秦
[摘要] 2019年7月17日,TA505网络间谍组织主要针对全球金融机构进行攻击,自2014年以来就一直保持活跃状态,在过去的几年里,该组织已经通过利用银

2019年7月17日,TA505網絡間諜組織主要針對全球金融機構進行攻擊,自2014年以來就一直保持活躍狀態,在過去的幾年裏,該組織已經通過利用銀行木馬Dridex以及勒索軟件Locky和Jaff作爲攻擊工具乐成發起了多起大型的網絡攻擊活動。亞信安全一直紧密關注該組織的動向。
 
在過去幾周內,亞信安全研究人員發現,該組織針對阿聯酋、沙特阿拉伯、印度、日本、阿根廷、菲律賓和韓國發動攻擊活動。與以往差异的是,在針對亞洲國家的攻擊活動中,TA505主要使用了新型惡意軟件Gelup(亞信安全將其命名爲Trojan.Win32.GELUP.A)和FlowerPippi(亞信安全將其命名爲Backdoor.Win32.FLOWERPIPPI.A)。
 
針對中東地區攻擊活動分析
 
6月11日,TA505网络间谍组织针对阿联酋,沙特阿拉伯和摩洛哥发动了垃圾邮件攻击活动,本次攻击活动使用的垃圾邮件附件是.html或者.xls文件。附件HTML文件运行后,首先会下载包罗恶意Excel 4.0宏的Excel文件,执行恶意宏以后,其会下载FlawedAmmyy安装包文件并安装FlawedAmmyy RAT。
 
【垃圾郵件攻擊流程圖】
 
如果附件是.xls文件,该文件自身会包罗恶意Excel 4.0宏代码,其运行后同样是下载FlawedAmmyy安装包文件并安装FlawedAmmyy RAT。
 
【TA505攻擊中東國家郵件樣本】
 
6月13日,亞信安全研究人員再次截獲垃圾郵件攻擊樣本,這些垃圾郵件附件除了包罗之前的.html和.excel文件,還增加了.doc文件。
 
 
【HTML文件下載惡意文檔的代碼截圖】
 
6月14日,研究人员看到TA505连续对阿联酋进行攻击,其使用的攻击手段及技术与之前的类似,此次攻击是通过Amadey僵尸网络发送垃圾邮件,其使用了Wizard(.wiz)文件,最终的目标仍然是下载安装FlawedAmmyy RAT。
 
 
【6月14日截獲的垃圾郵件樣本】
 
6月18日,研究人员截获的垃圾邮件主题大多具有诱惑性,欺骗用户点击,如“您的RAKBANK税务发票”、“免税额度”或者“确认函”。其附件同样是使用上述.html文件,带有恶意宏的Excel或者Word文档,最终目的是下载安装FlawedAmmyy RAT和Amadey。随后其会传送“EmailStealer”信息窃取程序,在受害者的机器中窃取邮件传输协议(SMTP)凭据和电子邮件地址。
 
研究人員在其C&C服務器上發現了至少數百個SMTP憑據,超過一百萬個電子郵件地址,這些郵件地址中80%是.com或.ae頂級域名。
 
 
 
 
【6月18日截獲的垃圾郵件樣本】
 
針對亞洲攻擊活動分析
 
6月17日,亞信安全研究人員截獲了大量針對亞洲銀行發動的垃圾郵件攻擊活動,這些郵件使用“阿聯酋航空NBD電子聲明”或者“簽證取消”等主題誘騙用戶點擊郵件附件,郵件附件是嵌入惡意程序的Excel文件。運行後,其會下載ServHelper加載器。
 
 
【6月17日截獲的攻擊亞洲銀行的垃圾郵件樣本】
 
6月20日,研究人員再次截獲針對日本、菲律賓和阿根廷發動的垃圾郵件攻擊活動,郵件附件同樣是帶有宏病毒的.doc和.xls文件,差异的是宏病毒最終會下載未公開的惡意軟件FlowerPippi和Gelup。Gelup惡意軟件使用C++編寫,其與衆差异之處是混淆技術和UAC繞過功能,可以有效阻止靜態和動態調試分析。FlowerPippi則具有後門和下載功能。
就在同一天,研究人员还截获了针对韩国发动的垃圾邮件攻击活动,与之前攻击活动差异的是,此次邮件中并不包罗附件,而是在邮件正文中嵌入了恶意URL,一旦用户访问恶意URL,其会下载包罗宏病毒的.doc和.xls文件,最终的目的同样是下载FlawedAmmyy RAT。
 

 
【6月20日截獲的攻擊韓國垃圾郵件樣本】
 
亞信安全教你如何防範
 
? 不要點擊來源不明的郵件以及附件;
? 不要點擊來源不明的郵件中包罗的鏈接;
? 接纳高強度的密碼,幸免使用弱口令密碼,並定期更換密碼;
? 打開系統自動更新,並檢測更新進行安裝。
? 盡量關閉不须要的文件共享;
? 請注意備份重要文檔。備份的最佳做法是接纳3-2-1規則,即至少做三個副本,用兩種差异格式生存,並將副本放在異地存儲。
 
亞信安全解決方案
亞信安全病毒碼版本15.233.60,雲病毒碼版本15.233.71,全球碼版本15.233.00已經可以檢測,請用戶及時升級病毒碼版本。
總結:亞信安全研究人員發現,TA505網絡間諜組織的活動範圍和攻擊規模很廣泛,從勒索軟件到信息竊取木馬,以及後門程序等,其可以提供多種威脅。而且該組織在技術上不斷變化更新,攻擊目標也在不斷擴大,給用戶造成了極大威脅。
 
TA505網絡間諜組織的主要攻擊手段是發動垃圾郵件攻擊,亞信安全建議用戶通過部署網關類産品作爲第一道防線,在源頭上進行阻斷;桌面防護産品可以有效阻止威脅到達客戶端;人員安全意識培訓也是必不行少的環節。
 

【返回首頁】