APT黑客TA505组织新添恶意软件AndroMut,预计在今夏活跃

电子说

1.3w人已加入

描述

据外媒报道,研究人员从一个著名的APT组织TA505中发现了名为AndroMut的新恶意软件,从受感染的受害者的计算机获得远程访问权限。

TA505黑客组织曾发起许多攻击,如Dridex,Locky勒索软件,ServHelper恶意软件,FlawedAmmyy等。

FlawedAmmyy被发现于2016年初,是个功能全面的RAT。Proofpoint研究人员通过垃圾邮件观察到了FlawedAmmyy,许多网络犯罪组织都使用它来进行攻击。黑客通过分发Word或Excel文件,使用宏来执行Msiexec命令。命令执行后,宏下载并执行FlawedAmmyy加载程序或AndroMut。

这次的新恶意软件AndroMut主要针对新加坡、阿联酋和美国金融机构。根据Proofpoint研究人员的说法,AndroMut是用C ++编写的新恶意软件,于2019年6月在野外被研究人员观察到。

AndroMut使用两种方法来解密字符串AndroMut使用两种方法来解密字符串,base64解密,或在ECB模式下使用AES-256解密。

此外,AndroMut使用各种反分析技术和持续性技术来逃避检测并使其难以分析。研究人员还观察到它与两个恶意软件下载程序Andromeda和QtLoader之间存在一些相似之处。

研究人员预计,TA505组织会在今年夏天频繁使用AndroMut下载器与FlawedAmmy RAT。

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分