Ta505 APT хакеры запускают новые вредоносные программы с помощью MS Office Docs для кражи электронной почты и учетных данных SMTP | DedicateT.com

Регистрация
18.12.2017
Сообщения
892
Симпатии
540
Баллы
180
#1
TA5O5APT.png

Участники угроз из групп TA5O5 APT распространяют вредоносные спам-рассылки с новым набором вредоносных программ с помощью вложенных вредоносных документов word и excel.


Ta505 хакерская группа, как полагают, проживает в России и актеры угрозы из этой группы участвуют в различных громких кибератаках, в том числе печально известный Dridex , Locky ransomware , ServHelper вредоносных программ, FlawedAmmyy, доставляется через вредоносные кампании по электронной почте.

Исследователи наблюдали два вредоносных инструмента из этой кампании. Во-первых, один из них был назван Gelup, который был обнаружен 20 июня, и в основном злоупотреблял контролем учетных записей пользователей (
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться
).

Gelup также действует как загрузчик, чтобы помочь другим вредоносным программам заразить целевую систему, и этот инструмент использует тот же Пакер, используемый Трояном удаленного доступа FlawedAmmyy.

Другой вредоносный инструмент под названием FlowerPippi найден в новой кампании, которая нацелена на пользователей, проживающих в Японии, Индии и Аргентине.

Процесс Заражения Вредоносными Программами
Гелуп наблюдал, как спам-кампания по электронной почте доставляет вредоносное ПО-встроенное через .html или .xls файл в качестве вложения и тело электронной почты с техникой социальной инженерии, чтобы обмануть пользователей в выполнении дальнейшей инфекции.

HTML-файл используется злоумышленниками для загрузки другого файла Excel с вредоносным макросом Excel 4.0, который помогает отбросить загрузчик FlawedAmmyy в конечном итоге отбросить FlawedAmmyy RAT.

1562506696783.png

Исследователи из Trend Micro наблюдали за группой APT, использующей другую кампанию в июне 14, в которой тот же FlawedAmmyy RAT распространялся среди целевых пользователей в ОАЭ, но на этот раз злоумышленники, использующие спам-сообщения, были доставлены через ботнет Amadey..

18 июня спам-почта с темой "налоговый счет / Налоговая кредит-нота"доставила вредоносный макрос Excel / Word document VBA с такой же ущербной полезной нагрузкой для доставки электронной почты.

EmailStealer известен за кражу учетных данных протокола SMTP (simple mail transfer protocol) и адресов электронной почты в машине жертвы.

Во время анализа исследователи обнаружили сотни украденных учетных данных электронной почты на сервере управления и управления, а также более миллионов адресов электронной почты.

1562506836310.png

Flowerpippi Вредоносных Программ
Исследователи наблюдают еще один набор спам-кампаний по электронной почте 20 июня, через которые участники угроз доставляют недокументированные вредоносные программы под названием FlowerPippi.

Согласно данным Trend Micro research “ " в тот же день кампания, нацеленная на Южную Корею, также использовалась .док и. XLS вложения. Мы не нашли никаких вложений в нескольких образцах, с которыми мы столкнулись, но вместо этого мы нашли вредоносные URL-адреса непосредственно в содержимом электронной почты.”


TA505 использование URL в качестве точки входа вредоносного ПО для загрузки вредоносных программ .XLS файлы или .doc-файлы в конечном итоге отбрасывают Flawedammyyy RAT в качестве окончательной полезной нагрузки.

Вывод
Субъекты угроз из TA5O5 с использованием неизвестного пользовательского Пакера для вредоносных программ Gelup и распакованной полезной нагрузки написаны на C++.

Другой основной целью вредоносного ПО FlowerPippi является Япония, Филиппины и Аргентина, а также является автономным вредоносным инструментом и извлекается более прямолинейно, чем Gelup. Тренд микро завершен.
 
Похожие темы:

Пользователи, которые просматривали тему (Всего: 0)

Тема долгое время не просматривалась.