暗藏遠端存取木馬程式FlawedAmmyy的釣魚郵件示意圖(圖片來源:微軟)

一隻名為FlawedAmmyy的遠端存取木馬程式(Remote Access Trojan,RAT)近日透過網釣郵件的Excel及Word附件檔散布,東亞地區包括台灣、南韓及中國都傳出企業受害。

微軟安全情報中心近日偵測到一波網釣攻擊。信中包含一個Excel .xls附檔,若被不知情的受害者點擊,就會自動執行巨集、開啟msiexec.exe並啟動一連串下載及啟動惡意程式碼的過程。首先它下載MSI壓縮檔,這個壓縮檔包含經過數位簽章的可執行檔,執行後即解密並在記憶體跑另一個可執行檔wsus.exe,後者最後下載名為FlawedAmmyy的RAT木馬程式。

趨勢科技也在本月首度發出FlawedAmmyy的安全通知。研究人員相信它是由名為TA505的犯罪組織發動,這個組織從去年底開始積極以網釣信件攻擊金融與零售業,入侵合法的遠端管理系統或或散佈RAT程式如FlawedAmmyy、FrawedGrace等。

此外TA505還會利用LOLbins及合法的Windows OS行程來執行惡意程式。研究人員觀察到這波攻擊中,駭客一開始以郵件中的HTML連結誘使受害者下載Excel和Word檔案,但後來也看到以郵件附檔散布。他們並懂得使用Excel 4.0巨集,來躲避安全軟體的偵測。

趨勢研究人員追蹤TA505不斷提升其攻擊工具和手段。四月間這個組織利用FlawedAmmyy和工具入侵了智利、墨西哥及義大利企業。而到四月底,FlawedAmmyy更蔓延到東亞地區,包括臺灣、中國、南韓。微軟及趨勢科技都偵測到使用韓文的惡意檔案,但也有簡中版本的攻擊樣本。

最佳防範之道除了安裝防毒軟體外,更重要是確保使用者不輕易點選來路不明的郵件連結或附檔。


Advertisement

更多 iThome相關內容