安全研究人员此前已经发现TA505是一个由俄语成员组成的网络犯罪组织,他们利用一种合法的远程管理工具——“远程操纵系统(RMS)”,针对美国、智利、印度、意大利、马拉维、巴基斯坦和韩国的主要零售商和金融机构进行网络攻击。
威胁组织TA505
TA505组织由Proofpoint在2017年9月首次命名,其相关活动可以追溯到2014年。该组织主要针对银行金融机构,采用大规模发送恶意邮件的方式进行攻击,并以传播Dridex、Locky等恶意样本而臭名昭著。这些年来,尽管已针对该组织采取了多次行动,比如通过打击Dridex和Necurs等僵尸网络来削弱其影响,但都只起到了暂时性的效果。
根据总部位于以色列的网络安全公司CyberInt的研究人员的说法,TA505自2014年以来一直处于活跃状态,分发强大的银行木马,如Dridex和Shifu,并且一直在使用经过成功验证的策略、技术和程序(TTP),这些针对高价值目标的攻击方式可以在俄语论坛讨论中通过与其他黑客互相交流与学习获得。
研究人员指出,TA505以及其他一些网络犯罪团体一直试图通过利用合法的远程访问工具来访问包含有价值数据的系统,这些工具使他们能够在受害者的网络内进行侦察和横向移动。
与此同时,该组织还在网络钓鱼电子邮件中使用与目标组织一致的标识、语言和术语,以诱使员工下载恶意附件,并建议他们在执行宏之前禁用安全控制。这些宏从TA505的远程C2基础设施(伪装成合法域名)下载恶意有效负载。
利用合法工具逃避检测
在许多情况下,最初的恶意有效负载是名为“远程操纵系统(RMS)”的合法远程访问工具,以及支持shell脚本(BAT)和配置文件。下载后,RMS可执行文件就会尝试与其C2基础设施连接,成功建立连接后,它就会进一步下载额外的有效负载以控制目标设备。
根据CyberInt研究人员的说法,这个合法的远程访问工具去年11月曾被用于攻击美国几家零售商的系统网络,随后在2018年12月和2019年2月期间再次用于针对智利、印度、意大利、马拉维、巴基斯坦和韩国的金融机构。中国、英国、法国等国的一些组织也曾报告收到了类似的攻击。
由于RMS可执行文件是合法的,因此绝大多数反恶意软件工具都不会检测或标记它,因此,各组织更多寄希望于其员工能够自主分辨出网络钓鱼电子邮件,以防止诸如TA505的威胁组织将恶意负载加载到他们的系统中。
妥协指标(IoCs)
本文作者:Gump,转载自:http://www.mottoin.com/detail/3918.html
閱讀更多 A1d2m3i4n5 的文章
