APT黑客TA505組織新添惡意軟件AndroMut,預(yù)計在今夏活躍

據(jù)外媒報道，研究人員從一個著名的APT組織TA505中發(fā)現(xiàn)了名為AndroMut的新惡意軟件，從受感染的受害者的計算機(jī)獲得遠(yuǎn)程訪問權(quán)限。

TA505黑客組織曾發(fā)起許多攻擊，如Dridex，Locky勒索軟件，ServHelper惡意軟件，F(xiàn)lawedAmmyy等。

FlawedAmmyy被發(fā)現(xiàn)于2016年初，是個功能全面的RAT。Proofpoint研究人員通過垃圾郵件觀察到了FlawedAmmyy，許多網(wǎng)絡(luò)犯罪組織都使用它來進(jìn)行攻擊。黑客通過分發(fā)Word或Excel文件，使用宏來執(zhí)行Msiexec命令。命令執(zhí)行后，宏下載并執(zhí)行FlawedAmmyy加載程序或AndroMut。

這次的新惡意軟件AndroMut主要針對新加坡、阿聯(lián)酋和美國金融機(jī)構(gòu)。根據(jù)Proofpoint研究人員的說法，AndroMut是用C ++編寫的新惡意軟件，于2019年6月在野外被研究人員觀察到。

AndroMut使用兩種方法來解密字符串AndroMut使用兩種方法來解密字符串，base64解密，或在ECB模式下使用AES-256解密。

此外，AndroMut使用各種反分析技術(shù)和持續(xù)性技術(shù)來逃避檢測并使其難以分析。研究人員還觀察到它與兩個惡意軟件下載程序Andromeda和QtLoader之間存在一些相似之處。

研究人員預(yù)計，TA505組織會在今年夏天頻繁使用AndroMut下載器與FlawedAmmy RAT。