近 日， 安 天 CERT 在 梳 理 網(wǎng) 絡(luò) 安 全事 件 時 發(fā) 現(xiàn)，TA505 組 織 通 過 電 子 郵 件 傳播 FlawedGrace 遠 控 木 馬 變 種。TA505 又 名Hive0065，是目前非常活躍的網(wǎng)絡(luò)犯罪組織之一。FlawedGrace 最早在 2017 年被發(fā)現(xiàn)，是一種用 C++ 編寫的遠控木馬。

        攻擊者首先通過電子郵件投遞帶有宏病毒的 Excel 誘餌文件，誘導(dǎo)受害者啟用宏。Excel 宏 下 載 和 運 行 相 關(guān) MSI 文 件， 該 文 件執(zhí)行內(nèi)嵌的加載程序，加載程序由腳本語言KiXtart 編寫，功能是從遠程服務(wù)器接收命令下載第二個 MSI 文件。新下載的 MSI 文件執(zhí)行內(nèi)嵌的加載程序。加載程序由腳本語言 Rebol 編寫，功能是下載同樣由 Rebol 編寫的腳本，該腳本下載多個 shellcode，這些 shellcode 釋放并執(zhí)行 FlawedGrace。FlawedGrace 木馬變種對比之前的版本，主要增加三種反對抗查殺的方法：對字符串加密；對調(diào)用函數(shù)的匯編語句進行混淆；加密配置文件并作為資源文件存儲，運行時映射配置文件到內(nèi)存中，存儲配置文件到注冊表中。

        安天 CERT 提醒廣大政企客戶，應(yīng)提高網(wǎng)絡(luò)安全意識。在日常工作中及時進行系統(tǒng)更新和漏洞修復(fù)，不隨意下載非正版的應(yīng)用軟件，注冊機等。收發(fā)郵件時應(yīng)確認收發(fā)來源是否可靠，不隨意點擊或者復(fù)制郵件中的網(wǎng)址，不輕易下載來源不明的附件，發(fā)現(xiàn)網(wǎng)絡(luò)異常要提高警惕并及時采取應(yīng)對措施，養(yǎng)成及時更新操作系統(tǒng)和軟件應(yīng)用的良好習(xí)慣。確保所有的計算機在使用遠程桌面服務(wù)時避免使用弱口令，如果業(yè)務(wù)上無需使用遠程桌面服務(wù)，建議將其關(guān)閉。目前，安天追影產(chǎn)品已經(jīng)實現(xiàn)了對該遠控木馬的鑒定；安天智甲已經(jīng)實現(xiàn)了對該遠控木馬的查殺。