據(jù)外媒報(bào)道，研究人員從一個(gè)著名的APT組織TA505中發(fā)現(xiàn)了名為AndroMut的新惡意軟件，從受感染的受害者的計(jì)算機(jī)獲得遠(yuǎn)程訪問(wèn)權(quán)限。

TA505黑客組織曾發(fā)起許多攻擊，如Dridex，Locky勒索軟件，ServHelper惡意軟件，F(xiàn)lawedAmmyy等。

FlawedAmmyy被發(fā)現(xiàn)于2016年初，是個(gè)功能全面的RAT。Proofpoint研究人員通過(guò)垃圾郵件觀察到了FlawedAmmyy，許多網(wǎng)絡(luò)犯罪組織都使用它來(lái)進(jìn)行攻擊。黑客通過(guò)分發(fā)Word或Excel文件，使用宏來(lái)執(zhí)行Msiexec命令。命令執(zhí)行后，宏下載并執(zhí)行FlawedAmmyy加載程序或AndroMut。

這次的新惡意軟件AndroMut主要針對(duì)新加坡、阿聯(lián)酋和美國(guó)金融機(jī)構(gòu)。根據(jù)Proofpoint研究人員的說(shuō)法，AndroMut是用C ++編寫(xiě)的新惡意軟件，于2019年6月在野外被研究人員觀察到。

AndroMut使用兩種方法來(lái)解密字符串AndroMut使用兩種方法來(lái)解密字符串，base64解密，或在ECB模式下使用AES-256解密。

此外，AndroMut使用各種反分析技術(shù)和持續(xù)性技術(shù)來(lái)逃避檢測(cè)并使其難以分析。研究人員還觀察到它與兩個(gè)惡意軟件下載程序Andromeda和QtLoader之間存在一些相似之處。

研究人員預(yù)計(jì)，TA505組織會(huì)在今年夏天頻繁使用AndroMut下載器與FlawedAmmy RAT。