通过大规模电子邮件活动传播 FlawedGrace 木马的新变种

网络安全研究人员揭开了由一个网络犯罪团伙发起的大规模电子邮件攻击活动，该团伙影响了广泛的行业，其中一项针对特定地区的行动主要针对德国和奥地利。

企业安全公司Proofpoint将该恶意软件活动与TA505联系在一起，TA505是指至少自 2014 年以来一直活跃于网络犯罪业务的出于经济动机的威胁组织的名称，并且是臭名昭著的 Dridex 银行木马和其他工具库的幕后黑手。

网络安全公司 Morphisec Labs 正在以独立名称“ MirrorBlast ”跟踪同一攻击链。据称，这些攻击始于一系列低容量电子邮件攻击，每个阶段仅发送数千封邮件，然后在 9 月下旬和最近的 10 月 13 日激增，产生数万至数十万封电子邮件。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，许多活动，尤其是大批量活动，与 2019 年和 2020 年的历史性 TA505 活动非常相似。共同点包括类似的域命名约定、电子邮件诱饵、Excel 文件诱饵以及 FlawedGrace 远程访问木马 (RAT) 的交付。

该恶意软件团伙有一个跟踪记录惊人的研究机构，银行，零售企业，能源企业，医疗机构，航空公司和政府机构为追求利润的动机，与恶意行为通常声称钓鱼邮件在打开恶意软件股价附件开始与 COVID-19 更新、保险索赔或有关 Microsoft OneDrive 共享文件的通知相关。

NCC Group在 2020 年 11 月发布的一份分析报告中说，随着时间的推移，TA505 从一个较小的合作伙伴发展成为一个成熟、自给自足、用途广泛的犯罪行动，目标范围很广。多年来，该组织严重依赖第三方派对服务和工具来支持其欺诈活动，然而，该组织现在从最初的感染到货币化，大部分都是独立运作的。

然而，最新活动的成功取决于用户在打开恶意 Excel 附件后启用宏，在发布包含支持的 FlawedGrace RAT 更新版本之前下载混淆的 MSI 文件以获取下一阶段加载程序加密的字符串和混淆的 API 调用。

FlawedGrace 于 2017 年 11 月首次被发现，是一个用 C++ 编写的功能齐全的远程访问木马 (RAT)，它被故意设计成阻止逆向工程和分析。它带有一系列功能，允许它与命令和控制服务器建立通信，以接收指令并将这些命令的结果传回服务器。