疑似黑客組織TA505再出手，在新的活動中傳播多種遠控木馬

Morphisec Labs的研究人員在上週發現了一場大範圍的網路攻擊活動，同時針對了多個目標。研究人員將這場活動命名為“Pied Piper（花衣魔笛手）”，因為它通過網路釣魚在多個國家/地區交付了多種遠端訪問木馬（RAT）。

其中一起行動交付了FlawedAmmyy RAT。這個木馬病毒可以讓攻擊者完全控制受害者的PC，允許他們竊取檔案和憑證、抓取螢幕截圖，以及訪問攝像頭和麥克風。另外，它還為攻擊者在網路中橫向移動提供了一個立足點，並作為供應鏈攻擊的潛在入口點。

研究人員表示，這場活動如果順利執行，則可能會影響到幾家知名食品連鎖店的供應商，包括Godiva Chocolates、Yogurtland和Pinkberry。另外，如果C&C伺服器最終沒有被搗毀，那麼還會有其他的目標很快會被攻擊FlawedAmmyy RAT的使用量在過去的幾個月裡出現了大幅飆升，並在上個月進入了Check Point全球威脅指數（Checkpoint Global Threat Index）的前10名。正如Check Point的研究人員在去年3月份所披露的那樣，該惡意軟體是基於遭洩露的Ammyy管理遠端桌面軟體的原始碼建立的。

研究人員表示，“Pied Piper”活動與早前旨在交付FlawedAmmyy RAT的網路釣魚活動非常類似。誘餌文件包含了相同的彩色圖片，誘使受害者使用巨集來檢視Microsoft Office文件。在這場最新的活動中，攻擊者使用了武器化的.pub（Microsoft Publisher）文件以及更標準的.doc檔案。

研究人員檢查了多個具有不同命名格式的文件。有些文件的命名格式為“invoice_<隨機數>.pub”，其他的更類似於invoice_laspinasfoods.doc。從檔案的後設資料來看，這些文件應該是在過去的幾天裡建立的，並且目前仍有新的文件在被建立。

另外，Morphisec Labs還發現了針對西班牙使用者的誘餌文件，它被命名為“comprobante.doc”（西班牙語，意為“憑證”），以及針對其他國家/地區的文件。在針對不同國家/地區的行動中，誘餌文件圖片上的文字均被調整為對應的語言。

西班牙語文件

德語文件

對這場活動的深入調查顯示，基於後設資料和其他指標，同一個網路犯罪團伙在另一起行動中將RMS RAT作為了payload。RMS RAT是基於一個現成的、非商業化的庫建立的，而這個庫原本被設計用於分析程式碼中的異常。

無論如何，所有行動都開始於網路釣魚電子郵件，旨在說服目標啟用巨集。攻擊分多個階段進行，最終目的是交付一個已簽名的可執行RAT。

基於後設資料，研究人員懷疑攻擊背後的網路犯罪團伙是網路安全公司Proofpoint所描述的TA505。目前，Morphisec Labs已經向有關當局報告了這場活動的細節，以幫助他們搗毀攻擊中使用的C&C伺服器。目前，尚不清楚攻擊者是否能夠進一步滲透到供應鏈的上游。