第198期安全事件
2019/08/26-2019/09/01
| 英文標題 | TA505 At It Again: Variety is the Spice of ServHelper and FlawedAmmyy |
| 中文標題 | TA505 針對多國投放 ServHelper 和 FlawedAmmyy |
| 作者及單位 | Trend Micro |
| 內容概述 |
趨勢科技研究人員觀察到 TA505 在 7 月中旬的新攻擊活動。該活動針對新增目標國家包括土耳其、塞爾維亞、羅馬 尼亞、韓國、加拿大、捷克共和國和匈牙利,使用 .ISO 鏡像文件附件作為攻擊入口點,以及 .NET 下載程序、新形式的 宏交付,最終投放 ServHelper 變種和 .DLL FlawedAmmyy 下載器變種。針對土耳其和塞爾維亞銀行的活動示例中,郵件 附件的 .ISO 鏡像為 .LNK 文件,使用命令行 msiexec 從 URL 執行 MSI 文件,然后 pm2 文件包含并運行使用 NSIS 創建的 安裝程序文件,安裝其包含的 ServHelper。其它示例中還使用 Excel 附件包含的惡意宏,從 URL 下載 NSIS 創建文件,最 終安裝 ServHelper,與 C2 通信采用 XOR 加密。針對韓國企業的攻擊中,在以上流程基礎上使用 .NET 下載程序最終安裝 FlawedAmmyy。而在 8 月第一周觀察到的針對加拿大的攻擊中,用戶啟用文檔惡意宏后,將使用 IE 通信下載文本文件,宏 處理文件中使用 XOR 加密和打包 .DLL FlawedAmmyy 下載器,寫入磁盤,最終安裝 FlawedAmmyy RAT。 |
| 新聞鏈接 |
https://blog.trendmicro.com/trendlabs-security-intelligence/ta505-at-it-again-variety-is-the-spice-of-servhelper-and-?awedammyy/ |