近日，网络安全公司趋势科技（Trend Micro）的安全研究员Hara Hiroaki和Loseway Lu在一篇文章中指出，世界顶级黑客组织TA505在最近似乎又有了新动作。

TA505被怀疑曾在过去的几周里针对全球多个国家实施了网络攻击，主要涉及到一些中东国家，如阿联酋和沙特阿拉伯，也包括其他一些国家，如印度、日本、阿根廷、菲律宾和韩国。

研究人员表示，他们之所以会怀疑这一系列网络攻击是由TA505所为，是因为他们在6月20日的一起网络攻击中发现了Gelup病毒（由趋势科技检测为Trojan.Win32.GELUP.A），而该病毒正是由TA505开发的。

Gelup能够滥用Windows系统的用户帐户控制（UAC）功能来绕过杀毒软件的检测，通常被用作其他恶意软件的加载组件（loader）。

值得注意的是，在针对印度、日本和阿根廷的网络攻击中，研究人员还发现一种此前从未出现过的新型后门木马——FlowerPippi（由趋势科技检测为Backdoor.Win32.FLOWERPIPPI.A），而它很可能是TA505新开发的“武器”。

针对中东国家的攻击

6月11日，攻击者针对阿联酋、沙特阿拉伯和摩洛哥发送了大量包含.html或.xls文件附件的垃圾电子邮件。

图1.垃圾电子邮件示例

打开.html文件，会导致一个嵌入了恶意宏的Excel文件被下载，而打开这个Excel文件又会导致FlawedAmmyy（一种此前曾被TA505频繁使用的远程访问木马）被下载。

图2.用于下载恶意Excel文件的代码

.xls文件则有所不同，因为它本身就被嵌入了恶意宏，不过功能都一样——下载FlawedAmmyy。

图3.感染链

6月14日，研究人员捕获到了类似的垃圾电子邮件，但这一次是通过Amadey僵尸网络发送的，并使用了.wiz文件作为附件。不过，最终的目的仍然是为了下载FlawedAmmyy RAT。

针对其他国家的攻击

6月17日，攻击者使用了诸如“Emirates NBD E-Statemen”和“Visa cancel”这样的垃圾电子邮件主题，旨在通过嵌入了恶意宏的Excel文件传播ServHelper恶意软件。

垃圾电子邮件声称来自迪拜居住权和外国人事务总局（DNRD），内容是采用阿拉伯文编写的，但出乎意料的是，这些垃圾电子邮件并没有被发送给阿联酋或其他说阿拉伯语的用户，而是被发送给了印度、印度尼西亚和菲律宾等亚洲国家的银行。

图4.6月17日捕获到的垃圾电子邮件样本

6月18日，虽然大部分垃圾电子邮件都开始使用“Your RAKBANK Tax Invoice / Tax Credit Note”或“Confirmatio”作为主题，但仍使用上述.html、.xls和.wiz文件作为附件，旨在下载FlawedAmmyy、Amadey和EmailStealer。

EmailStealer是一种信息窃取程序，能够窃取保存在受感染计算机上的邮件传输协议（SMTP）凭证和电子邮箱地址。

研究人员表示，他们在攻击者的C2服务器上发现了数百个SMTP凭证以及超过100万个电子邮箱地址，其中80%都是.com或.ae顶级域名（TLD）。

图5.6月18日捕获到的垃圾电子邮件样本

6月20日，研究人员捕获到了使用.doc和.xls文件作为附件的垃圾电子邮件，嵌入在其中的恶意VBA宏下载了一种被命名为“FlowerPippi”的新型恶意软件以及Gelup。

此外，也有一些垃圾电子邮件并不包含任何附件，而是直接将恶意网址包含在电子邮件的正文中。点击这些网址会导致恶意.doc和.xls文件被下载，最终的有效载荷仍然是FlawedAmmyy RAT。

图6.6月18日捕获到的垃圾电子邮件样本

6月24日，攻击者开始针对黎巴嫩发送垃圾电子邮件，旨在传播一种被命名为“ServHelper”的恶意软件（能够在Windows计算机上安装一个后门，为攻击者提供对受感染计算机的远程访问）。

图7.6月24日捕获到的垃圾电子邮件样本

研究人员调查发现，类似的垃圾电子邮件也被发送到了印度和意大利，只是内容有所不同而已。

结论

正如趋势科技的研究所显示的那样，TA505仍在全球兴风作浪。从勒索病毒到信息窃取程序，再到各种后门木马，TA505被证实拥有一个强大的“武器库”，能够给全球各国政府、社会团体、企业带来威胁。

TA505近期的活动再次给我们提了一个醒，我们确有必要对我们的网络基础设施进行保护，尤其是电子邮件网关。

另外，防御计算机病毒最佳的做法，仍然是执行最低特权原则、定期更新操作系统以及已安装的应用程序，以防止攻击者利用可能存在的安全漏洞。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。