據外媒報道,研究人員從一個著名的APT組織TA505中發現了名為AndroMut的新惡意軟件,從受感染的受害者的計算機獲得遠程訪問權限。
TA505黑客組織曾發起許多攻擊,如Dridex,Locky勒索軟件,ServHelper惡意軟件,FlawedAmmyy等。
FlawedAmmyy被發現于2016年初,是個功能全面的RAT。Proofpoint研究人員通過垃圾郵件觀察到了FlawedAmmyy,許多網絡犯罪組織都使用它來進行攻擊。黑客通過分發Word或Excel文件,使用宏來執行Msiexec命令。命令執行后,宏下載并執行FlawedAmmyy加載程序或AndroMut。
這次的新惡意軟件AndroMut主要針對新加坡、阿聯酋和美國金融機構。根據Proofpoint研究人員的說法,AndroMut是用C ++編寫的新惡意軟件,于2019年6月在野外被研究人員觀察到。
AndroMut使用兩種方法來解密字符串AndroMut使用兩種方法來解密字符串,base64解密,或在ECB模式下使用AES-256解密。
此外,AndroMut使用各種反分析技術和持續性技術來逃避檢測并使其難以分析。研究人員還觀察到它與兩個惡意軟件下載程序Andromeda和QtLoader之間存在一些相似之處。
研究人員預計,TA505組織會在今年夏天頻繁使用AndroMut下載器與FlawedAmmy RAT。
-
計算機
+關注
關注
19文章
7489瀏覽量
87870 -
網絡安全
+關注
關注
10文章
3155瀏覽量
59706
原文標題:APT黑客TA505組織新添惡意軟件AndroMut,預計在今夏活躍
文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論