微软警告,攻击会直接在内存中传递FlawedAmmyy RAT病毒

张 黑客入侵 7 年前
7.31W 0
华盟原创文章投稿奖励计划

华盟君“微软的研究人员发现了一个恶意攻击,它将臭名昭着的FlawedAmmyy RAT直接发送到内存中。”

微软的专家发现了一个恶意的活动,它将FlawedAmmyy RAT直接发送到内存中。
FlawedAMMYY后门借用了代码 Ammyy 管理员远程访问木马,它允许攻击者获得对受害者机器的完全访问权限。 FlawedAmmyy RAT允许窃取受感染系统的敏感数据 出入穿插 文件。
FlawedAmmyy远程访问特洛伊木马参与了被跟踪为TA505的威胁演员所进行的攻击
Microsoft使用带有韩语内容的.xls附件观察了武器化垃圾邮件。文档中包含的宏执行下载MSI存档的合法msiexec.exe工具。
MSI存档包括一个经过数字签名的可执行文件,一旦打开,它就会在内存中解密并执行另一个可执行文件。

“这个 可执行的下载并解密另一个文件wsus.exe,该文件也在6月19日进行了数字签名.wsus.exe解密并直接在内存中运行最终的有效负载。最终的有效载荷是远程访问Trojan FlawedAmmyy,“读取由Microsoft Security Intelligence发布的推文。

6月22日检测到的此活动中涉及的一个样本使用Thawte for Dream Body Limited颁发的证书进行了数字签名。

自动草稿

今年5月,Yoroi-Cybaze Z-Lab的专家观察到针对银行业的攻击数量激增,并发现了TA505黑客组织使用的新电子邮件窃取程序。
6月初,趋势科技的研究人员  观察  到TA505小组对拉丁美洲和亚洲的用户进行了涉及FlawedAmmyy RAT和其他RAT的攻击。

FlawedAmmyy RAT病毒(1),微软警告(2),内存中传递病毒(1),黑客(527),黑客入侵(123)
本文原创,作者:张,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/238109.html
张官方

1.49K篇文章 83M总阅读量

相关文章

发表回复