电子说
据外媒报道,研究人员从一个著名的APT组织TA505中发现了名为AndroMut的新恶意软件,从受感染的受害者的计算机获得远程访问权限。
TA505黑客组织曾发起许多攻击,如Dridex,Locky勒索软件,ServHelper恶意软件,FlawedAmmyy等。
FlawedAmmyy被发现于2016年初,是个功能全面的RAT。Proofpoint研究人员通过垃圾邮件观察到了FlawedAmmyy,许多网络犯罪组织都使用它来进行攻击。黑客通过分发Word或Excel文件,使用宏来执行Msiexec命令。命令执行后,宏下载并执行FlawedAmmyy加载程序或AndroMut。
这次的新恶意软件AndroMut主要针对新加坡、阿联酋和美国金融机构。根据Proofpoint研究人员的说法,AndroMut是用C ++编写的新恶意软件,于2019年6月在野外被研究人员观察到。
AndroMut使用两种方法来解密字符串AndroMut使用两种方法来解密字符串,base64解密,或在ECB模式下使用AES-256解密。
此外,AndroMut使用各种反分析技术和持续性技术来逃避检测并使其难以分析。研究人员还观察到它与两个恶意软件下载程序Andromeda和QtLoader之间存在一些相似之处。
研究人员预计,TA505组织会在今年夏天频繁使用AndroMut下载器与FlawedAmmy RAT。
全部0条评论
快来发表一下你的评论吧 !