TA505最新垃圾邮件攻击活动分析

根据对TA505攻击活动的分析,Trend Micro研究人员近期发现该组织针对不同国家的垃圾邮件攻击活动,受影响的国家主要位于中东,包括阿联酋和沙特阿拉伯,以及印度、日本、韩国、菲律宾等 。
本文介绍研究人员分析发现的TA505使用的TTP等,以及TA505使用的最新恶意软件工具Gelup 。
Gelup滥用用户控制控制(user, UAC)绕过技术,并作为其他威胁的加载器 。该攻击使用远程控制木马的打包器 。TA505在攻击活动中使用了一款新的木马来攻击日本、印度和阿根廷 。
攻击中东国家
研究人员发现TA505在6月11日发起了针对中东国家的攻击活动,其中超过90%的垃圾邮件发送到了阿联酋、沙特阿拉伯和摩洛哥 。垃圾邮件中含有.html或.xls文件附件 。HTML文件会下载另一个潜入了恶意excel 4.0宏文的Excel文件,然后下载.msi格式的下载器和。.xls文件中含有vba宏,会提取相同的下载器.msi文件,然后下载。图2是该攻击活动的感染链 。PHP大马
研究人员在6月13日发现了类似的攻击活动,该攻击活动通过.doc文件和html以及excel文件来传播恶意软件 。

TA505最新垃圾邮件攻击活动分析

文章插图
图1. TA505攻击中东国家的样本垃圾邮件
图2.含有 RAT的垃圾邮件的感染链
TA505最新垃圾邮件攻击活动分析

文章插图

TA505最新垃圾邮件攻击活动分析

文章插图
【TA505最新垃圾邮件攻击活动分析】图3. 6月13日的垃圾邮件样本(上)HTML文件下载恶意文档的代码截图(下)
6月14日,研究人员监测到TA505仍在用相同的技术和策略来攻击阿联酋,但此次攻击活动中的一些垃圾邮件是通过僵尸网络来传播的 。攻击活动总使用了 (.wiz)文件,并将 RAT作为final。
TA505最新垃圾邮件攻击活动分析

文章插图
图4. 6月14日攻击活动中的垃圾邮件样本
6月18攻击活动中的垃圾邮件主题为“YourTax/ TaxNote(我们的税务发票/税收抵免单)”或“” 。该攻击活动使用了前面提到的.html文件,恶意excel/word文档VBA宏,和 。然后传输名为的信息窃取器来窃取受害者机器中的SMTP凭证和邮箱地址 。研究人员在C2服务器上发现了上百个SMTP凭证,恶意软件还收集了上百万邮件地址,其中80%以上是.com或.ae的顶级域名 。奇热影视
TA505最新垃圾邮件攻击活动分析

文章插图

TA505最新垃圾邮件攻击活动分析

文章插图

TA505最新垃圾邮件攻击活动分析

文章插图
图5. 6月18日攻击活动中的垃圾邮件样本(上)下载潜入恶意软件的.doc文件的代码(中)窃取的邮件凭证(下)
6月24日,研究人员发现另一起用攻击黎巴嫩的活动 。该攻击活动还有有不同邮件内容攻击印度和意大利的攻击子活动 。
TA505最新垃圾邮件攻击活动分析

文章插图
图6. 6月24攻击攻击意大利的攻击子活动垃圾邮件样本
攻击亚洲地区的银行
6月17日,研究人员发现了直接将潜入恶意软件的excel作为附件的垃圾邮件攻击活动 。垃圾邮件使用的主题为 NBD E-(阿联酋国家广播公司电子声明)或Visa (visa取消)作为社会工程的诱饵 。该攻击活动使用了加载器,它是用VBA宏下载的 。
仔细分析邮件发现,其内容更适用于阿拉伯语用户和国家,尤其是阿联酋 。在使用Visa (visa取消)作为主题的垃圾邮件中,邮件称是来自于迪拜居留与外国人事务局(ofand– Dubai) 。但是这些垃圾邮件并没有发送给阿联酋或阿拉伯语国家用户,而是发送给了印度、印尼和菲律宾等东南亚国家的银行 。