谁是 TA505？

TA505 是一个多产、有经济动机的网络犯罪集团，自 2014 年以来一直活跃在全球网络犯罪领域。TA505 扮演着许多不同的角色，包括作为勒索软件即服务（RaaS）运营商和其他顶级 RaaS 运营商的附属公司，作为初始访问代理（IAB）和其他 IAB 的客户，出售对被入侵企业网络的访问权，以及作为大型僵尸网络运营商进行金融欺诈和网络钓鱼攻击。

TA505 被认为是全球最大（如果不是最大）的网络钓鱼和恶意垃圾邮件分发者之一，据估计已入侵了 3,000 多家美国组织和 8,000 多家全球组织。

TA505 使用一套复杂且不断变化的战术、技术和程序 (TTP)，试图利用新颖且难以察觉的漏洞来超越不断变化的网络安全环境。从 2014 年到 2018 年，TA505 的主要攻击策略是使用Dridex僵尸网络开展信息窃取活动，并利用窃取的凭据瞄准金融行业。然而，自 2018 年以来，TA505 已将重点转移到以勒索软件为主要作案手段的大学、医院和制造公司，并有选择性地让受害者感染加密货币挖矿恶意软件。

TA505 的战术、技术和程序 (TTP)

TA505 的攻击 TTP 和恶意软件工具包的使用在其生命周期中发生了显著变化。据了解，该组织会使用 Dridex、Trickbot 和 Locky 等各种流行的恶意软件有效载荷，以及内置的 Windows 工具和 TA505 独有的定制恶意软件来策划攻击。TA505 还以长期的网络攻击生命周期著称；他们会在目标网络中潜伏数周甚至数月进行侦查，同时避免被发现，以尽可能确定价值最高的目标。

TA505 使用的恶意软件菌株

Dridex（又名 Bugat、Cridex）：一种具有复杂僵尸网络功能的信息窃取程序和木马程序。

Trickbot：一种复杂的多用途攻击工具，由 TA505 在 2017 年首次使用

FlawedGrace（又名 Gracewire）：一种远程访问木马（RAT），自 2018 年以来几乎完全由 TA505 使用

FlawedAmmyy： 第二阶段恶意软件，可与 TA505 的远程命令和控制 (C2) 服务器建立连接，从而导入其他攻击工具

Snatch： 一种信息窃取程序，可窃取登录凭证和个人数据等敏感数据

SDBbot：一种应用程序 "垫片 "恶意软件，每次启动受感染系统时都会向标准进程注入恶意代码

ServHelper：TA505在2018年11月至2019年年中使用的具有第一和第二阶段功能的流行RAT恶意软件

TinyMet：一种 RAT 恶意软件，具有删除系统日志和消除恶意软件感染痕迹的附加功能

TeslaGun：用于管理 ServHelper 恶意软件的图形用户界面工具，该恶意软件可获取受感染主机的 CPU、GPU、RAM 和互联网连接速度，并在合适的受害者身上启动加密挖掘恶意软件。

Get2（又名 Friendspeak）：TA505 使用的社交网络应用程序，用于网络钓鱼和传播恶意软件感染，以发展僵尸僵尸网络业务

Quant Loader：一种简单的二级下载程序，通常在暗网网站上发布，自 2018 年起被 TA505 使用

Marap：略显复杂的第二阶段下载器，可避免检测并保持持久性

Andromut (AKA Gelup)：2019 年 TA505 专门使用的带有反分析混淆功能的安卓专用下载器

远程操纵系统（RMS 或 RmanSyS）：由俄罗斯 TEKTONIT 公司开发的合法系统管理工具，自 2018 年 11 月至 2019 年 6 月由 TA505 使用

FlowerPippi： 第一阶段系统侦察、下载器和简单的 RAT

MineDoor：一种针对运行流行的 Minecraft 游戏服务器的恶意软件，利用受感染的服务器挖掘加密货币

TA505 攻击 TTP 还包括

破坏与企业网络的远程桌面协议（RDP）连接
采用 "离地生存"（LOTL）攻击策略，利用现有的预装 Windows 系统工具和命令
利用合法的笔测试和远程访问工具，如 Cobalt Strike
使用 Dridex、Necurs 和 Amadey 僵尸网络自动进行欺诈性金融交易，并传播网络钓鱼和恶意垃圾邮件
在数据中心内部和数据中心之间迁移 C2 代理服务器，以提高检测规避能力
使用大量不同的勒索软件菌株，包括 Locky、Bart、Jaff、Scarab、Philadelphia、GlobeImposter、GandCrab 和 Clop（由 TA505 专门开发和使用）。
作为 RaaS 运营商和附属公司，在企业网络初始接入的买卖中充当中介经纪人的角色
使用从合法软件供应商处窃取的私钥对恶意软件进行数字签名，并在内存中解码软件二进制文件，以避免被端点安全产品检测到
利用已知的活动目录和 SMB 漏洞在受害者网络中横向移动
在被入侵网站上安装 PHP 网络外壳，以保持远程控制，并利用受感染网站传播恶意文件和链接
检测和禁用 IT 安全工具，包括 Malwarebytes、Webroot、Panda Security、ESET、卡巴斯基、AppCheck、Windows Defender 和 Microsoft Security Essentials
冒充 DropBox、OneDrive 和 Google Drive 等标准在线文件共享工具
显示虚假的恶意软件扫描图，向受害者灌输虚假的安全感

TA505 攻击的迹象

恶意软件研究人员发布了许多已知的恶意软件签名、命令与控制（C2）域和 IP 地址，以及与 TA505 相关的攻击策略。然而，TA505 能够迅速调整其技术战术、攻击工具包和基础设施，因此已发布的 IOC 无法可靠地防御 IT 环境。TA505 偶尔也会使用较旧的 TTP，因此企业应制定一种深度防御方法来管理其网络安全风险。

如何预防 TA505 攻击

实施现代身份和访问管理（IAM）工具
在所有端点上安装和配置高级端点安全产品，以检测入侵迹象 (IOC)，并采取防御措施阻止 Trickbot 有效载荷的执行
尽可能实施零信任解决方案，优先考虑关键系统
考虑开展用户意识培训，让员工了解网络钓鱼技术，并制定处理可疑电子邮件和文件的标准操作程序 (SOP)。
实施强大的网络安全，包括最小权限、关键服务分段、基于角色的访问控制、多因素身份验证和深度防御，以减少凭证被盗可能造成的损失
划分网络并添加 NIPS 和 NIDS，以监控网络活动的异常行为
通过禁用命令行和脚本活动以及权限和不需要的服务，对包括员工工作站和服务器在内的所有端点进行加固，以减少 "靠天吃饭"（LOTL）式攻击的可能性
实施可靠的备份策略，提供保护完好的离线备份，并实践灾难恢复程序，以确保实现平均恢复时间 (MTTR) 目标

CylanceOPTICS 防止勒索软件攻击

CylanceOPTICS^®利用人工智能（AI）提供设备上的威胁检测和修复，通过根源分析、智能威胁捕猎以及自动检测和响应功能来防止安全事件的发生。我们的端点检测和响应 (EDR) 方法可有效消除响应延迟。这可能是轻微安全事件与大范围失控事件之间的区别。

了解更多

TA505 小组