Proofpoint 指出,ServHelper 和 FlawedGrace 分別為全新的惡意軟體。前者有兩種變體,分別用在去年11月的兩波 Email 攻擊事件中;以其中一波為例,ServHelper 在感染後會在宿主電腦建立反向 SSH 連結通道,讓駭侵者能透過 RDP 遠端控制受害電腦。
Proofpoint 的觀察也發現,在某些 ServHelper 的惡意軟體下載攻擊中,也出現下載另一支惡意軟體 FlawedGrace 的指令碼;根據分析,FlawedGrace 屬於遠端存取木馬,會以複雜的加密過程儲存其設定檔。
Proofpoint 指出,TA505 最近主要的攻擊目標鎖定在金融機構。
資料來源:
