网络安全公司Proofpoint发现新型远程访问木马FlawedAmmyy

最近，网络安全公司Proofpoint发现了一款之前未被报道过的远程访问木马（RAT），并将其命名为“FlawedAmmyy”，允许攻击者获取到对受感染计算机的完全访问权限。

自2016年1月以来，FlawedAmmyy一直在通过网络钓鱼活动中分发的电子邮件传播。这些网络钓鱼活动通常采用大规模批量发送的形式来分发电子邮件，以同时针对数量众多的不同目标，但并不排除会有高针对性的攻击活动出现。例如，在今年1月16日就出现了一起针对汽车行业的高针对性网络钓鱼活动。

FlawedAmmyy最近出现在了今年3月5日和6日的大规模网络钓鱼活动中。活动中分发的电子邮件采用了一个zip压缩文件作为附件，它以英文单词“Bill（账单）”或者 “Invoice（发票）”与一组随机数字组合命名。显然，发件人是想要以虚假的账单和发票作为诱饵，诱使收件人下载并打开附件。

基于电子邮件的内容以及传播方式，FlawedAmmyy背后的运营团队被认为是TA505，这是一个自2014年以来就一直保持活跃的黑客组织。在过去的几年里，该组织已经通过利用银行木马Dridex以及勒索软件Locky和 Jaff作为攻击工具成功发起了多起大型的网络攻击活动。

zip压缩文件中包含了一个url文件，通过解析，我们可以看到，在其文件内容中包含了一个用于下载恶意JavaScript脚本的链接。url文件在Windows系统中被解释为“Internet快捷方式”文件，至于示例你可以在Windows操作系统的“收藏夹”文件夹中找到。通常来讲，在双击这个文件之后，网页浏览器将启动，并自动对应的网页。

然而，当收件人双击这个url文件后会显示一个警示窗口，如果选择“打开（Open）”，系统将通过调用SMB协议下载并执行JavaScript脚本文件，而不是启动网页浏览器。

这个JavaScript脚本会反过来下载一个加载器，然后由这个加载器下载并在受感染计算机上安装FlawedAmmyy。

根据Proofpoint公司的说法，FlawedAmmyy建立在遭泄露的远程桌面软件Ammyy Admin（一款合法的应用程序）第3版的源代码基础上。这使得它包含了Ammyy Admin的部分功能，如远程桌面控制、文件系统管理、代理支持和音频聊天。

转自黑客世界

国际知名电子邮件安全专家Softnext守内安的邮件归档、邮件网关，对邮件进行加密、归档、审计管理，防病毒，层层过滤邮件威胁，降低企业被入侵风险。

Softnext守内安

微信号：Softnext