TA505最新垃圾邮件攻击活动分析( 二 )


TA505最新垃圾邮件攻击活动分析

文章插图

TA505最新垃圾邮件攻击活动分析

文章插图

TA505最新垃圾邮件攻击活动分析

文章插图

TA505最新垃圾邮件攻击活动分析

文章插图
图7. 6月17日攻击活动中的垃圾邮件样本(上) 相关的C2流量(中) 混合了.html和.xls文件来传播加载器的类似攻击活动(下)
攻击日本、菲律宾、韩国和摩洛哥
研究人员发现6月20日的攻击活动中垃圾邮件传播有.doc和.xls文件 。研究人员发现恶意宏文件下载了新的和Gelup恶意软件 。
同日,攻击韩国的垃圾邮件活动也使用了.doc和.xls附件 。研究人员在样本中没有发现附件,但是在邮件内容中发现了恶意URL 。这些URL会下载恶意.doc和.xls文件,以及finalRAT 。这说明TA505使用URL来传播入口点恶意软件 。
TA505最新垃圾邮件攻击活动分析

文章插图

TA505最新垃圾邮件攻击活动分析

文章插图
图8. 攻击日本、菲律宾和阿根廷的垃圾邮件(上)攻击韩国使用/潜入URL而不是附件的垃圾邮件(下)
Gelup下载器和后门
在6月20日攻击日本、菲律宾、阿根廷的攻击活动中,研究人员发现一个新的、未披露的恶意软件Gelup 。经过分析,研究人员发现该恶意软件与之前披露的恶意软件有些类似 。使用了一个定制的来打包该恶意软件的不同变种 。
未打包的是用C++语言编写的,并作为另一款恶意软件的下载器 。Gelup不同的一点在于,其模仿可信目录和滥用自动权限提升可执行文件、以及DDL侧家族技术来进行混淆和UAC绕过 。
是研究人员在6月20日攻击日本、菲律宾和阿根廷的活动中发现的恶意软件 。在其中起着后门和下载器的作用,是一个单独的恶意软件工具,提取过程比Gelup更加直接 。
对Gelup和的感染链和C2等技术分析参见
总结和安全实践
分析发现,TA505攻击活动在传播不同类型的威胁,包括勒索软件、信息窃取器和后门,给企业带来了巨大的威胁 。TA505最近的攻击活动主要是利用垃圾邮件 。因此研究人员建议企业主要关注消息相关的威胁,强制执行最小权限原则来缓解威胁,定期更新系统来预防攻击 。