TA505 est un réseau actif d'organisations criminelles qui utilisent des campagnes de spam et des logiciels malveillants sur les institutions financières et les sociétés de vente au détail. Dans les activités récentes de l'organisation, qui ont commencé à utiliser des pièces jointes HTML pour distribuer des fichiers .XLS malveillants, des téléchargements et des guides de la porte arrière « FlawedAmmyy », qui ciblent les utilisateurs multi-coréens. Le présent document décrit ses activités récentes, les politiques et déplacement de la charge.
Depuis Décembre dernier, TA505 devient très actif, en utilisant RAT légitime ou infecté (accès à distance de Troie) comme FlawedAmmyy, FlawedGrace et système de commande à distance (RMS). En Avril de cette année, TA505 destiné aux pays d'Amérique latine, le Chili et le Mexique, ainsi que des charges en Italie, en utilisant FlawedAmmyy RAT, soit RMS RAT, lorsque la fin Avril, l'organisation a commencé à viser toute l'Asie de l'Est, comme la Chine, Taiwan, Corée du Sud, la charge est encore FlawedAmmyy RAT, et récemment, en utilisant TA505 LOLbin et une activité malveillante légitime de processus Windows, sombre Poke répartir la charge n'a pas été trouvé. attaque de point d'entrée, leur utilisation est un message complexe Word ou Excel fichiers avec malveillants, en plus de l'organisation a également abusé de macros Excel 4.0 pour evade macro de détection.
Il a noté que la mise en uvre des macro-commandes, en utilisant les initiales des charges de phase télécharger l'outil d'installation de Microsoft MsiExec.exe. Il est la première étape de chargement d'un programme d'installation MSI, qui a créé en utilisant MSI convertisseur EXE.
charge utile réelle malveillant est en fait MSI package d'installation, qui peut être charge légèrement différente de l'activité précédente, mais en utilisant le téléchargeur FlawedAmmyy, ServHelper ou démarreur RMS RAT.
Téléchargement à la charge à FlawedAmmyy
MSI installateur lui-même contient téléchargeur FlawedAmmyy.
Downloader vérifie l'ordinateur infecté est en cours d'exécution dans le réseau Active Directory (AD), qui court après commande « net group / domaine », cochez la case « groupe de travail » à sa sortie si. (Dans le cas contraire, l'ordinateur est en cours d'exécution prouvé en l'an), après quoi il téléchargera FlawedAmmyy RAT RC4 chiffré et déchiffré et exécuté en tant que charge finale.
Dans une charge comme ServHelper
ServHelper classé comme une porte arrière, mais il peut aussi être utilisé comme téléchargeur FlawedGrace. S'il y a une charge package d'installation MSI ServHelper, ce sera avec NSIS (système d'installation de script Nullsoft) est installé.
NSIS est un outil de gestion légitime pour Windows installé, mais certains pirates les abus, TA505 à abuser du NSIS installer ServHelper. installateur NSIS avec deux fichiers: « nsExec.dll et repotaj.dll » et " .nsi », qui est un profil d'installation.
Dans ce cas, repotaj.dll est SercHelper, il sera extrait au% TEMP%, et avec une « fête » en tant que paramètre pour exécuter ses fonctions exportées. Une fois que ServHelper exécuté, il sera exécuté comme un script PowerShell, pour obtenir des informations sur l'ordinateur infecté.
Dans une charge comme RMS RAT
Utilisé dans RAT « RMS » légitimes TA505 encore dans ses activités si le package d'installation MSI a RMS RAT, qui contient aussi un RAR auto-extractible.
Ce SFXRAR trois fichiers à la décompression de fichiers% TEMP%, et dans lequel l'exécution d'un document et est i.cmd exit.exe un lanceur; i.cmd kernel.dll va renommer le uninstall.exe, après avoir effectué son paramètres.
Comme il est indiqué ci-dessus description du paramètre, kernel.dll / uninstall.exe il est SFXRAR, mais il est protégé par mot. Il extraira le fichier et effectuer la exit.exe figure ci-dessous, et le fichier exécutable est des programmes de démarrage i.cmd, il apparaît comme winserv.exe (true RMS RAT) et exécutoire. Mot de passe de l'extraction fichier compressé i.cmd ensemble, « -p » passé par le paramètre.
Mise à niveau tactique TA505, techniques et procédures
Depuis la fin Avril au début 6, TA505 a changé ses tactiques, techniques et procédures dans de nombreux endroits.
Utiliser la distribution Amadey du courrier stealers
Une attaque 24 Avril dans la phase initiale de la charge sera Amadey pour l'attaque, qui stealers (de l'ordinateur infecté à voler ou à des informations d'identification de compte de messagerie SMTP) pour downloader FlawedAmmyy télécharger des programmes et des messages. Les voleuses de serveur C2-courrier ont un répertoire ouvert, à partir duquel voir leurs informations de vol.
En utilisant une macro VBA
TA505 un peu de temps avec Excel 4.0, mais un ajout récent à cela, il utilise aussi en dehors des macros VBA normales, mais il est toujours dans le « UserForm », plutôt que le code VBA pour cacher ses commandes malveillantes et des liens URL.
Évitez d'utiliser msiexec.exe
Ci-dessus, aussi, TA505 msiexec.exe a abusé d'installer sa charge de phase initiale, mais en fait l'organisation télécharger directement les instructions binaires de la première phase de la charge et l'exécuter. Avec code macro VBA que l'organisation par cmd.exe et exécuter le fichier téléchargé 234.exe, cela peut être dû solutions de sécurité des terminaux msiexec.exe facilement détectés.
Utilisez HTML comme l'attaque du point d'entrée
TA505 utilise EXCEL, fichier Word ou .wiz comme son attaque de point d'entrée, mais comme auparavant, l'organisation a commencé à lien HTML pièces jointes de courrier électronique, incitant les utilisateurs à ouvrir le fichier EXCEL.
Ouvrez le lien HTML redirige l'utilisateur vers un fichier EXCEL malveillant hébergement URL malveillant. Le fichier EXCEL avec macro VBA a toujours le même style, ce qui signifie que l'organisation tente de changer le type de fichier pour lequel le point d'entrée, afin de contourner la détection macro.
Début Juin, le destinataire du message peut télécharger le fichier EXCEL, fichier EXCEL et certains ont même directement attaché au message.
HTML affiche un message (ce qui signifie avant de télécharger EXCEL: téléchargement, besoin d'attendre une page de téléchargement, s'il n'y a pas de réponse, s'il vous plaît cliquez < a href = " < MALICIOUS_URL > " > lien < / A > !)