近 日, 安 天 CERT 在 梳 理 网 络 安 全事 件 时 发 现,TA505 组 织 通 过 电 子 邮 件 传播 FlawedGrace 远 控 木 马 变 种。TA505 又 名Hive0065,是目前非常活跃的网络犯罪组织之一。FlawedGrace 最早在 2017 年被发现,是一种用 C++ 编写的远控木马。
攻击者首先通过电子邮件投递带有宏病毒的 Excel 诱饵文件,诱导受害者启用宏。Excel 宏 下 载 和 运 行 相 关 MSI 文 件, 该 文 件执行内嵌的加载程序,加载程序由脚本语言KiXtart 编写,功能是从远程服务器接收命令下载第二个 MSI 文件。新下载的 MSI 文件执行内嵌的加载程序。加载程序由脚本语言 Rebol 编写,功能是下载同样由 Rebol 编写的脚本,该脚本下载多个 shellcode,这些 shellcode 释放并执行 FlawedGrace。FlawedGrace 木马变种对比之前的版本,主要增加三种反对抗查杀的方法:对字符串加密;对调用函数的汇编语句进行混淆;加密配置文件并作为资源文件存储,运行时映射配置文件到内存中,存储配置文件到注册表中。
安天 CERT 提醒广大政企客户,应提高网络安全意识。在日常工作中及时进行系统更新和漏洞修复,不随意下载非正版的应用软件,注册机等。收发邮件时应确认收发来源是否可靠,不随意点击或者复制邮件中的网址,不轻易下载来源不明的附件,发现网络异常要提高警惕并及时采取应对措施,养成及时更新操作系统和软件应用的良好习惯。确保所有的计算机在使用远程桌面服务时避免使用弱口令,如果业务上无需使用远程桌面服务,建议将其关闭。目前,安天追影产品已经实现了对该远控木马的鉴定;安天智甲已经实现了对该远控木马的查杀。