stellar,要挟安排TA505运用合法的长途管理工具进行网络进犯,李若嘉

安全研究人员此前现已发现TA505是一个由俄语成员组成的网络违法安排,他们运用一种合法的长途管理东西——“长途操作体系(RMS)”,针对美国、智利、印度、意大利、马拉维、巴基斯坦和韩国的首要零售商和金融机构进行网络进犯。



要挟安排TA505

TA505安排由Proofpoint在2017年9月初次命名,其相关活动可以追溯到2014年。该安排首要针对银行金融机构,选用大规模发送歹意邮件的方法进行进犯,并以传达Dridex、Locky等歹意样本而臭名远扬。这些年来,虽然已针对该安排采取了屡次举动,比方经过冲击Dridex和Necurs等僵尸网络来削弱其影响,但都只起到了暂时性的作用。

依据总部坐落以色列的网络安全公司CyberInt的研究人员的说法,TA505自2014年以来一向处于活泼状况,分发强壮的银行木马,如Dridex和Shifu,而且一向在运用经过成功验证的战略、技能和程序(TTP),这些针对高价值方针的进犯方法可以在俄语论坛评论中经过与其他黑客相互沟通与学习取得。



研究人员指出,TA505以及其他一些网络违法集体一向企图经过运用合法的长途拜访东西来拜访包括有价值数据的体系,这些东西使他们可以在受害者的网络内进行侦查和横向移动。

与此同时,该安排还在网络垂钓电子邮件中运用与方针安排共同的标识、语言和术语,以诱使职工下载歹意附件,并主张他们在履行宏之前禁用安全操控。这些宏从TA505的长途C2基础设施(伪装成合法域名)下载歹意有用负载。

运用合法东西躲避检测

在许多情况下,开始的歹意有用负载是名为“长途操作体系(RMS)”的合法长途拜访东西,以及支撑shell脚本(BAT)和配置文件。下载后,RMS可履行文件就会测验与其C2基础设施衔接,成功树立衔接后,它就会进一步下载额定的有用负载以操控方针设备。



依据CyberInt研究人员的说法,这个合法的长途拜访东西上一年11月曾被用于进犯美国几家零售商的体系网络,随后在2018年12月和2019年2月期间再次用于针对智利、印度、意大利、马拉维、巴基斯坦和韩国的金融机构。我国、英国、法国等国的一些安排也曾陈述收到了相似的进犯。

因为RMS可履行文件是合法的,因而绝大多数反歹意软件东西都不会检测或符号它,因而,各安排更多寄希望于其职工可以自主分辨出网络垂钓电子邮件,以避免比如TA505的要挟安排将歹意负载加载到他们的体系中。

退让目标(IoCs)



本文作者:Gump,转载自:http://www.mottoin.com/detail/3918.html