近日,网络安全公司趋势科技(Trend Micro)通过一篇文章披露了黑客组织TA505的最新活动,土耳其、塞尔维亚、罗马尼亚、韩国、加拿大、捷克和匈牙利已经成为了该组织的新目标。
文章指出,虽然TA505仍继续使用FlawedAmmyy RAT(远程访问木马)和ServHelper作为有效载荷,但在最新的9起攻击活动中,他们也做出了一些改变。比如,开始使用.ISO镜像文件、.NET下载程序以及恶意宏来作为传播媒介。
此外,TA505对FlawedAmmyy和ServHelper也进行了更新,其中就包括了一个FlawedAmmyy的.DLL版本。
针对土耳其和塞尔维亚银行的活动
趋势科技表示,TA505于7月中旬再次活跃起来,目标是土耳其和塞尔维亚的银行,以带有.ISO镜像文件附件的电子邮件作为恶意软件的传播媒介。
附件中的.ISO镜像文件包含一个.LNK文件,它能够使用命令行msiexec从一个URL(如hxxp://139[.]180[.]195[.]36/pm2)执行一个MSI文件。
pm2文件包含另一个可执行文件,这是一个使用Nullsoft Scriptable Install System(NSIS,一个开源的Windows系统下安装程序制作程序)创建的安装程序文件,被用于安装ServHelper恶意软件。
在趋势科技捕获的另一个垃圾电子邮件样本中,恶意附件是一个被嵌入了恶意宏的Excel文档,恶意宏能够直接从hxxp://45[.]67[.]229[.]36/p2下载一个使用NSIS安装程序创建的文件。分析表明,下载的文件与上述pm2文件包含的可执行文件完全相同。
在其他的一些垃圾电子邮件样本中,TA505使用了多个不同版本的ServHelper,其中一个版本包含有经过“维吉尼亚密码(Vigenère cipher)”加密算法加密的字符串。
此外,趋势科技还发现了两个新的后门命令runmem和runmemxor,它们可以在内存中运行额外的.DLL命令。
- shell:执行命令
- runmem:在内存中下载.DLL并运行
- runmemxor:下载XOR加密的.DLL并解密并运行
- zakr:注册自动运行
- slp:设置休眠时间
- load:下载可执行文件并运行
- loaddll:下载.DLL并运行
- selfkill:卸载自己
针对数千家韩国企业的活动
在针对数千家韩国企业的活动中,趋势科技同样发现了恶意.ISO附件,它们伪装成来自一家受欢迎航空公司的机票确认函。
感染链略有不同,附件中的.ISO镜像文件中包含的可能是一个.LNK文件,也可能是一个.NET编译的下载程序。
一些垃圾电子邮件样本也使用恶意Excel文档作为附件,其中包含有用于安装FlawedAmmyy的恶意宏。
针对罗马尼亚银行的活动
在针对罗马尼亚银行的活动中,电子邮件使用的主题为“Fw: copie COC L5H3”,恶意附件为.ISO镜像文件。
分析表明,.ISO镜像文件被嵌入了一个.NET下载程序,被用于下载一个.MSI安装程序,进而安装另一个NSIS安装程序,最终导致系统感染ServHelper。
针对其他一些国家的活动
在针对沙特阿拉伯、阿曼和卡塔尔政府机构的活动中,趋势科技发现了以恶意.XLS或.DOC文档作为附件的垃圾电子邮件。
在针对印度和美国的活动中,垃圾电子邮件的主题大都与“发票”有关,附件可能是不同格式的文件,但最终都是为了下载ServHelper。
此外,也有一些类似的垃圾电子邮件被发送到了中国,它们大都以“FedEx(联邦快递)”为主题,如快递异常、包裹丢失等。
电子邮件没有携带恶意附件,而是在正文中添加了一个恶意链接,旨在诱使收件人从hxxp://www.fedexdocs[.]top/fedex.doc或hxxp://www.fedexdocs[.]icu/fedex.doc下载一个名为“fedex.doc”的恶意文档。
嵌入在恶意文档中的VBA能够从hxxps://senddocs[.]icu/stelar.exe下载一个NSIS打包的可执行文件,进而安装ServHelper。
结论
趋势科技表示,他们到目前为止已经捕获到了大量的ServHelper样本,但其中有一些样本却似乎并不是出自TA505之手。最大的可能就是,ServHelper的源代码已经被出售给了其他黑客,而这些黑客正在进行恶意软件测试。
此外,从TA505对ServHelper和FlawedAmmyy所做的更改和调整来看,该组织也极有可能正在进行实验和测试,以确定那种形式的混淆可以更有效地绕过安全检测,从而提高感染的成功率。
