黑客组织TA505正在垃圾邮件活动中使用新的恶意软件

据Trend Micro的研究人员称，TA505黑客组织正通过一些垃圾邮件活动传播名为Gelup和FlowerPippi的新型恶意软件，它们被用来攻击来自中东、日本、印度、菲律宾和阿根廷的目标实体。Proofpoint的研究人员还发现，在今年6月，有两场垃圾邮件活动在传播名为AndroMut的恶意软件下载程序，其攻击目标是来自美国、新加坡、阿联酋和韩国的收件人。TA505黑客组织曾发起过Dridex银行木马以及名为Locky的勒索软件攻击。

TA505黑客组织使用包含.DOC和.XLS文档的垃圾邮件来传播其新的恶意软件。受害者打开恶意附件后，通过执行VBA宏命令在受攻击的机器上部署payload。据Trend Micro报道，少量垃圾邮件样本还使用了恶意的URL，导致名为FlawedAmmyy的远程访问木马（RAT）下载。

垃圾邮件样本 (Proofpoint)

新发现的恶意软件Gelup的下载程序有趣的特性是它使用了混淆和UAC绕过技术，这是“模拟受信任目录（欺骗受信任目录中文件的执行路径），滥用自动提高的可执行文件，并使用DLL侧加载技术。”恶意软件Gelup的开发人员使用包括各种旨在阻碍静态和动态分析的技术，并通过部署多个步骤使感染过程更难跟踪。为了使攻击时间更长，恶意软件Gelup可以运行在系统回收站中启动LNK文件创建的任务，或者添加注册表运行项，这取决于用户权限。

Gelup执行的命令（Trend Micro）

FlowerPippi是黑客组织TA505近期部署的第二个恶意软件，除了后门功能外，它还具有下载技巧，使其能够以可执行二进制文件或DLL文件的形式向受感染的系统释放更多的恶意payload。Trend Micro进一步指出，该后门用于收集和过滤受害者电脑中的信息，并运行从命令控制（C2）服务器接收到的任意命令。

FlowerPippi 执行的命令 （Trend Micro）

黑客组织TA505的攻击活动还在继续。除了Proofpoint和Trend Micro的研究人员所观察和记录到的活动以外，微软安全情报部门在大约两周前发布了一条安全警告，称一场活跃的垃圾邮件活动试图通过恶意的XLS附件来传播FlawedAmmyy 远程访问木马（RAT）使韩国的目标受感染。

Redmond的研究人员表示，虽然黑客们利用的微软办公软件漏洞（CVE-2017-11882 ）在两年前就已经被修补，但黑客们仍广泛地利用该漏洞进行攻击，“且过去几周的攻击活动有所增加”。FlawedAmmyy远程访问木马的payload是TA505黑客组织喜欢利用的工具之一，可以用于各种各样的攻击。大约在一周前，Trend Micro的安全研究人员发现了一场类似于微软研究人员发现的通过恶意的. XLS附件发送FlawedAmmyy远程访问木马（RAT）的活动。

Malicious XLS document

TA505黑客组织从2014年第三季度起就变得活跃起来[1,2]，其攻击的主要目标是通过Necurs僵尸网络传播的大型恶意垃圾邮件来攻击金融机构和零售企业。

（本文由 HackerNews.cc 翻译整理，封面来源于网络）