TA505最新垃圾邮件攻击活动分析( 二 ) _邮件

文章插图

文章插图
图7. 6月17日攻击活动中的垃圾邮件样本（上）相关的C2流量（中）混合了.html和.xls文件来传播加载器的类似攻击活动（下）
攻击日本、菲律宾、韩国和摩洛哥
研究人员发现6月20日的攻击活动中垃圾邮件传播有.doc和.xls文件。研究人员发现恶意宏文件下载了新的和Gelup恶意软件。
同日，攻击韩国的垃圾邮件活动也使用了.doc和.xls附件。研究人员在样本中没有发现附件，但是在邮件内容中发现了恶意URL 。这些URL会下载恶意.doc和.xls文件，以及finalRAT 。这说明TA505使用URL来传播入口点恶意软件。

文章插图

文章插图
图8. 攻击日本、菲律宾和阿根廷的垃圾邮件（上）攻击韩国使用/潜入URL而不是附件的垃圾邮件（下）
Gelup下载器和后门
在6月20日攻击日本、菲律宾、阿根廷的攻击活动中，研究人员发现一个新的、未披露的恶意软件Gelup 。经过分析，研究人员发现该恶意软件与之前披露的恶意软件有些类似。使用了一个定制的来打包该恶意软件的不同变种。
未打包的是用C++语言编写的，并作为另一款恶意软件的下载器。Gelup不同的一点在于，其模仿可信目录和滥用自动权限提升可执行文件、以及DDL侧家族技术来进行混淆和UAC绕过。
是研究人员在6月20日攻击日本、菲律宾和阿根廷的活动中发现的恶意软件。在其中起着后门和下载器的作用，是一个单独的恶意软件工具，提取过程比Gelup更加直接。
对Gelup和的感染链和C2等技术分析参见
总结和安全实践
分析发现，TA505攻击活动在传播不同类型的威胁，包括勒索软件、信息窃取器和后门，给企业带来了巨大的威胁。TA505最近的攻击活动主要是利用垃圾邮件。因此研究人员建议企业主要关注消息相关的威胁，强制执行最小权限原则来缓解威胁，定期更新系统来预防攻击。