据外媒报道,研究人员从一个著名的APT组织TA505中发现了名为AndroMut的新恶意软件,从受感染的受害者的计算机获得远程访问权限。
TA505黑客组织曾发起许多攻击,如Dridex,Locky勒索软件,ServHelper恶意软件,FlawedAmmyy等。
FlawedAmmyy被发现于2016年初,是个功能全面的RAT。Proofpoint研究人员通过垃圾邮件观察到了FlawedAmmyy,许多网络犯罪组织都使用它来进行攻击。黑客通过分发Word或Excel文件,使用宏来执行Msiexec命令。命令执行后,宏下载并执行FlawedAmmyy加载程序或AndroMut。
这次的新恶意软件AndroMut主要针对新加坡、阿联酋和美国金融机构。根据Proofpoint研究人员的说法,AndroMut是用C ++编写的新恶意软件,于2019年6月在野外被研究人员观察到。
AndroMut使用两种方法来解密字符串AndroMut使用两种方法来解密字符串,base64解密,或在ECB模式下使用AES-256解密。
此外,AndroMut使用各种反分析技术和持续性技术来逃避检测并使其难以分析。研究人员还观察到它与两个恶意软件下载程序Andromeda和QtLoader之间存在一些相似之处。
研究人员预计,TA505组织会在今年夏天频繁使用AndroMut下载器与FlawedAmmy RAT。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
