安全研究人員此前已經發現TA505是一個由俄語成員組成的網絡犯罪組織,他們利用一種合法的遠程管理工具——“遠程操縱系統(RMS)”,針對美國、智利、印度、意大利、馬拉維、巴基斯坦和韓國的主要零售商和金融機構進行網絡攻擊。
威脅組織TA505
TA505組織由Proofpoint在2017年9月首次命名,其相關活動可以追溯到2014年。該組織主要針對銀行金融機構,採用大規模發送惡意郵件的方式進行攻擊,並以傳播Dridex、Locky等惡意樣本而臭名昭著。這些年來,儘管已針對該組織採取了多次行動,比如通過打擊Dridex和Necurs等殭屍網絡來削弱其影響,但都只起到了暫時性的效果。
根據總部位於以色列的網絡安全公司CyberInt的研究人員的說法,TA505自2014年以來一直處於活躍狀態,分發強大的銀行木馬,如Dridex和Shifu,並且一直在使用經過成功驗證的策略、技術和程序(TTP),這些針對高價值目標的攻擊方式可以在俄語論壇討論中通過與其他黑客互相交流與學習獲得。
研究人員指出,TA505以及其他一些網絡犯罪團體一直試圖通過利用合法的遠程訪問工具來訪問包含有價值數據的系統,這些工具使他們能夠在受害者的網絡內進行偵察和橫向移動。
與此同時,該組織還在網絡釣魚電子郵件中使用與目標組織一致的標識、語言和術語,以誘使員工下載惡意附件,並建議他們在執行宏之前禁用安全控制。這些宏從TA505的遠程C2基礎設施(偽裝成合法域名)下載惡意有效負載。
利用合法工具逃避檢測
在許多情況下,最初的惡意有效負載是名為“遠程操縱系統(RMS)”的合法遠程訪問工具,以及支持shell腳本(BAT)和配置文件。下載後,RMS可執行文件就會嘗試與其C2基礎設施連接,成功建立連接後,它就會進一步下載額外的有效負載以控制目標設備。
根據CyberInt研究人員的說法,這個合法的遠程訪問工具去年11月曾被用於攻擊美國幾家零售商的系統網絡,隨後在2018年12月和2019年2月期間再次用於針對智利、印度、意大利、馬拉維、巴基斯坦和韓國的金融機構。中國、英國、法國等國的一些組織也曾報告收到了類似的攻擊。
由於RMS可執行文件是合法的,因此絕大多數反惡意軟件工具都不會檢測或標記它,因此,各組織更多寄希望於其員工能夠自主分辨出網絡釣魚電子郵件,以防止諸如TA505的威脅組織將惡意負載加載到他們的系統中。
妥協指標(IoCs)
本文作者:Gump,轉載自:http://www.mottoin.com/detail/3918.html
閱讀更多 A1d2m3i4n5 的文章
