TA505最新垃圾邮件进击运动剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

TA505最新垃圾邮件进击运动剖析

申博_新闻事件 申博 96次浏览 已收录 0个评论

依据对TA505进击运动的剖析,Trend Micro研究人员近期发明该构造针对差别国度的垃圾邮件进击运动,受影响的国度重要位于中东,包含阿联酋和沙特阿拉伯,以及印度、日本、韩国、菲律宾等。

本文引见研究人员剖析发明的TA505运用的TTP等,以及TA505运用的最新歹意软件东西Gelup。

Gelup滥用用户掌握掌握(user account control, UAC)绕过手艺,并作为其他要挟的加载器。该进击运用长途掌握木马FlawedAmmyy的打包器。TA505在进击运动中运用了一款新的木马FlowerPippi来进击日本、印度和阿根廷。

进击中东国度

研究人员发明TA505在6月11日发起了针对中东国度的进击运动,个中凌驾90%的垃圾邮件发送到了阿联酋、沙特阿拉伯和摩洛哥。垃圾邮件中含有.html或.xls文件附件。HTML文件会下载另一个潜入了歹意excel 4.0宏文的Excel文件,然后下载.msi花样的FlawedAmmyy下载器和FlawedAmmyy payload。.xls文件中含有vba宏,会提取雷同的FlawedAmmyy下载器.msi文件,然后下载FlawedAmmyy payload。图2是该进击运动的感染链。

研究人员在6月13日发明了相似的进击运动,该进击运动经由历程.doc文件和html以及excel文件来流传歹意软件。

 TA505最新垃圾邮件进击运动剖析

图1. TA505进击中东国度的样本垃圾邮件

TA505最新垃圾邮件进击运动剖析 图2.含有FlawedAmmyy RAT的垃圾邮件的感染链

TA505最新垃圾邮件进击运动剖析

TA505最新垃圾邮件进击运动剖析

图3. 6月13日的垃圾邮件样本(上)HTML文件下载歹意文档的代码截图(下)

6月14日,研究人员监测到TA505仍在用雷同的手艺和战略来进击阿联酋,但此次进击运动中的一些垃圾邮件是经由历程Amadey僵尸收集来流传的。进击运动总运用了Wizard (.wiz)文件,并将FlawedAmmyy RAT作为final payload。

TA505最新垃圾邮件进击运动剖析

图4. 6月14日进击运动中的垃圾邮件样本

6月18进击运动中的垃圾邮件主题为“Your RAKBANK Tax Invoice / Tax Credit Note(我们的Rakbank税务发票/税收抵免单)”或“Confirmation”。该进击运动运用了前面提到的.html文件,歹意excel/word文档VBA宏,FlawedAmmyy payload和Amadey。然后传输名为EmailStealer的信息盗取器来盗取受害者机械中的SMTP凭据和邮箱地点。研究人员在C2服务器上发明了上百个SMTP凭据,歹意软件还收集了上百万邮件地点,个中80%以上是.com或.ae的顶级域名。

TA505最新垃圾邮件进击运动剖析

TA505最新垃圾邮件进击运动剖析TA505最新垃圾邮件进击运动剖析

图5. 6月18日进击运动中的垃圾邮件样本(上)下载潜入歹意软件的.doc文件的代码(中)盗取的邮件凭据(下)

6月24日,研究人员发明另一升引ServHelper进击黎巴嫩的运动。该进击运动另有有差别邮件内容进击印度和意大利的进击子运动。

2019 神盾杯 final Writeup(一)

前言 队友去参加了2019神盾杯上海市网络安全竞赛,线下有4道web题,就跟队友要来了源码进行了一波分析,由于题目较多,分为2篇撰写,本篇先写dedecms和另一个出题人手写的cms。 web1 预置简单后门查杀 打开源码发现是dedecms,使用主流webshell查杀工具得到如下结果: 由于静态分析具有较高的误报率,所以我先选择了diff一下: 发现后门文件为include/guess.class.php,事实证明还是D盾nb~ 内置混淆后门 我们先去查看文件:include/guess.class.php。 发现明显后门:

TA505最新垃圾邮件进击运动剖析

图6. 6月24进击进击意大利的进击子运动垃圾邮件样本

进击亚洲地区的银行

6月17日,研究人员发明了直接将潜入歹意软件的excel作为附件的垃圾邮件进击运动。垃圾邮件运用的主题为Emirates NBD E-Statement(阿联酋国度广播公司电子声明)或Visa Canceled(visa作废)作为社会工程的钓饵。该进击运动运用了ServHelper加载器,它是用VBA宏下载的。

仔细剖析邮件发明,其内容更适用于阿拉伯语用户和国度,尤其是阿联酋。在运用Visa Canceled(visa作废)作为主题的垃圾邮件中,邮件称是来自于迪拜居留与外国人事务局(General Directorate of Residency and Foreigners Affairs – Dubai)。然则这些垃圾邮件并没有发送给阿联酋或阿拉伯语国度用户,而是发送给了印度、印尼和菲律宾等东南亚国度的银行。

TA505最新垃圾邮件进击运动剖析

TA505最新垃圾邮件进击运动剖析

TA505最新垃圾邮件进击运动剖析

图7. 6月17日进击运动中的垃圾邮件样本(上) ServHelper相干的C2流量(中) 夹杂了.html和.xls文件来流传ServHelper加载器的相似进击运动(下)

进击日本、菲律宾、韩国和摩洛哥

研究人员发明6月20日的进击运动中垃圾邮件流传有.doc和.xls文件。研究人员发明歹意宏文件下载了新的FlowerPippi和Gelup歹意软件。

同日,进击韩国的垃圾邮件运动也运用了.doc和.xls附件。研究人员在样本中没有发明附件,然则在邮件内容中发明了歹意URL。这些URL会下载歹意.doc和.xls文件,以及final payload FlawedAmmyy RAT。这说明TA505运用URL来流传进口点歹意软件。 TA505最新垃圾邮件进击运动剖析TA505最新垃圾邮件进击运动剖析

图8. 进击日本、菲律宾和阿根廷的垃圾邮件(上)进击韩国运用/潜入URL而不是附件的垃圾邮件(下)

Gelup下载器和FlowerPippi后门

在6月20日进击日本、菲律宾、阿根廷的进击运动中,研究人员发明一个新的、未表露的歹意软件Gelup。经由剖析,研究人员发明该歹意软件与Proofpoint之前表露的AndroMut歹意软件有些相似。运用了一个定制的packer来打包该歹意软件的差别变种。

未打包的payload是用C++言语编写的,并作为另一款歹意软件的下载器。Gelup差别的一点在于,其模拟可托目次和滥用自动权限提拔可执行文件、以及DDL侧家属手艺来举行殽杂和UAC绕过。

FlowerPippi是研究人员在6月20日进击日本、菲律宾和阿根廷的运动中发明的歹意软件。FlowerPippi在个中起着后门和下载器的作用,是一个零丁的歹意软件东西,提取历程比Gelup越发直接。

对Gelup和FlowerPippi的感染链和C2等手艺剖析拜见https://documents.trendmicro.com/assets/Tech-Brief-Latest-Spam-Campaigns-from-TA505-Now-Using-New-Malware-Tools-Gelup-and-FlowerPippi.pdf

总结和平安实践

剖析发明,TA505进击运动在流传差别范例的要挟,包含讹诈软件、信息盗取器和后门,给企业带来了庞大的要挟。TA505近来的进击运动重如果应用垃圾邮件。因而研究人员发起企业重要关注音讯相干的要挟,强制执行最小权限准绳来减缓要挟,按期更新体系来防备进击。

原文地点: https://www.4hou.com/info/news/19050.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明TA505最新垃圾邮件进击运动剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址