網(wǎng)絡(luò)安全公司Proofpoint于近日發(fā)文稱,在整個2018年里,黑客們越來越傾向于使用下載程序(Downloader)、后門程序(Backdoor)、信息竊取程序(Information Stealer)、遠程訪問木馬程序(Remote Access Trojan,RAT)作為其惡意活動的主要有效載荷(Payload),而不是在2017年表現(xiàn)尤為活躍的勒索軟件(Ransomware)。
在2018年11月份,老練且多產(chǎn)的黑客組織TA505就在其活動中使用了一種名為“ServHelper”的新后門。Proofpoint表示,TA505使用的ServHelper可分為兩個變種:一個側(cè)重于遠程桌面功能,另一個主要被用作下載程序。此外,Proofpoint還觀察到,被用作下載程序的ServHelper變種下載了一種被他們稱之為“FlawedGrace”的已知惡意軟件。
Proofpoint表示,F(xiàn)lawedGrace實際上是一種功能齊全的遠程訪問木馬程序,首次被他們發(fā)現(xiàn)是在2017年11月份?,F(xiàn)在,這個遠程訪問木馬程序正在被TA505使用,針對的攻擊目標似乎是銀行、零售企業(yè)和餐廳。
11月9日的活動
在2018年11月9日,Proofpoint觀察到了一場規(guī)模相對較小的垃圾電子郵件活動(共有數(shù)千條封電子郵件被發(fā)送),旨在傳播上面提到的側(cè)重于遠程桌面功能的ServHelper惡意軟件變種。該活動主要針對的是金融機構(gòu),并被Proofpoint認為是由TA505發(fā)起的。垃圾電子郵件(圖1)是包含內(nèi)嵌惡意宏代碼的Microsoft Word或Publisher附件,當它被打開時,將下載并執(zhí)行ServHelper惡意軟件。
11月15日的活動
在2018年11月15日,Proofpoint觀察到了另一場來自TA505的規(guī)模相對較大的垃圾電子郵件活動(共有數(shù)萬封電子郵件被發(fā)送)。需要注意的是,除金融機構(gòu)外,這場活動還針對了零售企業(yè)。垃圾電子郵件(圖2)包含Microsoft“.doc”、“.pub”或“.wiz”附件。這些文檔同樣包含惡意宏代碼,在被打開時,將下載并執(zhí)行被用作下載程序的ServHelper惡意軟件變種。
12月13日的“FlawedGrace”活動
在2018年12月13日,Proofpoint觀察到了另一場針對零售企業(yè)和金融機構(gòu)客戶的大型ServHelper惡意軟件活動。在這場活動中,TA505同時使用了多種方法來傳播被用作下載程序的ServHelper惡意軟件變種,包括直接在電子郵件正文中添加指向ServHelper可執(zhí)行文件的惡意鏈接、使用包含內(nèi)嵌惡意宏代碼的Microsoft Word附件和包含惡意鏈接(指向虛假“Adobe PDF插件”下載頁面)的PDF附件(圖3)。
此外,在這場活動中,Proofpoint還觀察到,被用作下載程序的ServHelper變種下載了上述提到的“FlawedGrace”惡意軟件(圖4)。
Proofpoint表示,出現(xiàn)在這場活動中的FlawedGrace是用才C++編寫的,并使用了面向?qū)ο笈c多線程編程技術(shù),這使得逆向工程和調(diào)試既困難又耗時。
FlawedGrace使用了一系列命令與它的命令和控制(C&C)服務器進行通信,預示著它具備多種惡意功能,如下所示:
target_remove
target_update
target_reboot
target_module_load
target_module_load_external
target_module_unload
target_download
target_upload
target_rdp
target_passwords
target_servers
target_script
destroy_os
desktop_stat