第198期安全事件

2019/08/26-2019/09/01


英文标题 TA505 At It Again: Variety is the Spice of ServHelper and FlawedAmmyy
中文标题 TA505 针对多国投放 ServHelper 和 FlawedAmmyy
作者及单位 Trend Micro
内容概述
趋势科技研究人员观察到 TA505 在 7 月中旬的新攻击活动。该活动针对新增目标国家包括土耳其、塞尔维亚、罗马 尼亚、韩国、加拿大、捷克共和国和匈牙利,使用 .ISO 镜像文件附件作为攻击入口点,以及 .NET 下载程序、新形式的 宏交付,最终投放 ServHelper 变种和 .DLL FlawedAmmyy 下载器变种。针对土耳其和塞尔维亚银行的活动示例中,邮件 附件的 .ISO 镜像为 .LNK 文件,使用命令行 msiexec 从 URL 执行 MSI 文件,然后 pm2 文件包含并运行使用 NSIS 创建的 安装程序文件,安装其包含的 ServHelper。其它示例中还使用 Excel 附件包含的恶意宏,从 URL 下载 NSIS 创建文件,最 终安装 ServHelper,与 C2 通信采用 XOR 加密。针对韩国企业的攻击中,在以上流程基础上使用 .NET 下载程序最终安装 FlawedAmmyy。而在 8 月第一周观察到的针对加拿大的攻击中,用户启用文档恶意宏后,将使用 IE 通信下载文本文件,宏 处理文件中使用 XOR 加密和打包 .DLL FlawedAmmyy 下载器,写入磁盘,最终安装 FlawedAmmyy RAT。
新闻链接
https://blog.trendmicro.com/trendlabs-security-intelligence/ta505-at-it-again-variety-is-the-spice-of-servhelper-and-flawedammyy/