瑞星网络攻击报告:黑客组织TA505近期网络攻击分析

瑞星网络攻击报告:黑客组织TA505近期网络攻击分析

黑客安全hacker2019-09-30 23:19:0016832A+A-

  近日,瑞星威胁情报系统捕获到一起针对韩国的钓鱼邮件攻击事件,韩国多家公司被攻击,攻击者会伪装成合作公司、会计事务所等,向被攻击者发送钓鱼邮件,邮件中携带着恶意附件。据韩国安全人员发布的统计信息,已发现的有上千个公司邮箱收到恶意邮件。

  攻击者一旦攻击成功,受害者机器就会被远程控制,导致重要信息被窃取。攻击者还可以通过窃取的账号密码等信息,进一步攻击内网中的其它机器,投递其它木马、病毒或勒索软件,攻击者还可能通过窃取的账号密码信息,窃取用户的银行账户。或是把窃取的信息贩卖给其它犯罪团伙,从事其它犯罪行为。

  瑞星安全专家通过对攻击者所使用的数字签名、技术手法、命名风格等行为进行分析,发现此攻击事件是知名网络攻击组织“TA505”所为。

  TA505是国外安全公司Proofpoint研究团队最早披露并命名的一个活动非常频繁的网络犯罪组织,根据目前收集到的数据,2014年该组织分发了上百次Dridex恶意银行木马,2016年和2017年的进行大规模Locky木马攻击活动,而且其中的很多攻击活动涉及到了全世界数以亿计的恶意消息。2018年开始投递FlawedAmmyy木马,针对银行、金融机构、工商业进行定向攻击。

  技术分析

  (一)恶意邮件分析

  瑞星威胁情报系统捕获到的钓鱼邮件主要有两种类型,一种是附件中含有恶意xls文档,另一种是附件中含有恶意doc文档,两者都会通过脚本下载运行病毒msi安装包,最终下载运行远控木马。

  1、内含恶意xls文档的钓鱼邮件

  图:内含xls文档的钓鱼邮件

  通过对钓鱼邮件的内容翻译后,可以发现此钓鱼邮件伪装的是合作公司。

  图:钓鱼邮件内容翻译

  xls文档含有恶意宏脚本。

  图:恶意xls文档内容

  宏脚本非常隐蔽,攻击者将其放到了隐藏的工作表中。

  图:隐藏的xls工作表

  宏脚本为了对抗查杀,并没有使用VBA宏,而是XLM宏。XLM宏非常“古老”,据说是Excel 5之前用于编程控制Excel的“语言”,数百个XLM宏函数提供了控制Excel的几乎全部功能。自从在Excel 5中引入更易学习且更强大的VBA后,XLM宏函数逐渐被VBA所取代。

  图:恶意宏脚本

  宏脚本运行之后下载运行恶意程序。

  2、内含恶意doc文档的钓鱼邮件

  另外一个内含doc文档的钓鱼邮件。

  图:内含doc文档的钓鱼邮件

  通过对钓鱼邮件的内容翻译后,可以发现此钓鱼邮件伪装的是会计事务所。

  图:邮件内容翻译

  图:恶意doc文档内容

  可以看到恶意下载脚本与上面分析的xls文件从同一个地址下载恶意程序。

  图:下载地址

  (二)恶意程序分析

  下载的恶意程序是一个下载者木马,主要负责下载后面的木马程序,此文件使用exetomsi将exe打包成msi程序。

  图:打包的msi程序

  木马运行后,首先循环执行500000次没有意义的代码,拖延时间反沙箱。

  图:拖延时间反沙箱

  然后检测杀软进程,以下进程中如果有一个存在,则退出不执行恶意功能。

瑞星网络攻击报告:黑客组织TA505近期网络攻击分析 第1张

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 寻妄千纥2022-05-28 05:55:58
  • 报系统捕获到的钓鱼邮件主要有两种类型,一种是附件中含有恶意xls文档,另一种是附件中含有恶意doc文档,两者都会通过脚本下载运行病毒msi安装包,最终下载运行远控木马。  1、内含恶意xls文档的钓鱼邮件  图:内含xls文档的钓鱼邮件  通过对钓鱼邮件的内容翻译后,
  • 离鸢野梦2022-05-28 08:53:48
  • 循环执行500000次没有意义的代码,拖延时间反沙箱。  图:拖延时间反沙箱  然后检测杀软进程,以下进程中如果有一个存在,则退出不执行恶意功能。

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理