据外媒报道称，在一场针对德国相关公司的黑客运动中，与俄罗斯有联系的犯罪组织TA505除了使用恶意软件外还使用了部分合法工具。

其实在几周之前，Prevailion 的安全研究人员就发现了一次由TA505发起针对德国公司的虚假电子邮件攻击活动，但该攻击似乎开始于2019年6月，持续了非常久的一段时间后才被研究人员发现。根据研究调查，这些电子邮件都带有恶意附件，旨在窃取用户的安全凭证和信用卡数据。

据悉，TA505黑客组织也被称为Evil Corp，它以使用Dridex木马病毒和Locky勒索软件而闻名，但是它曾经也使用过许多其他恶意软件家族的产品，包括BackNet、Cobalt Strike、ServHelper、Bart勒索软件、FlawedAmmyy、SDBbot RAT和DoppelPaymer勒索软件等等。

研究人员通过对这些攻击的分析发现，此次TA505组织使用了木马履历（CV）来针对德国企业的人力资源部门发起攻击，同时他们观察到攻击的电子邮件是通过vodafonemail.de创建的。

在攻击的初始阶段，黑客可以通过CV文件中的代码运行脚本来获取有效负载，并在受害者计算机上安装程序，给计算机名称和域添加有效指纹。随后，该脚本会尝试从浏览器和邮件应用程序中收集数据并保存凭据。据悉，被盗凭据将被存档并发送到由攻击者控制的服务器上，然后创建计划任务以用作信标。最后，BAT文件将删除所有的入侵痕迹。

Prevailion研究人员还发现，2019年5月也可能进行了类似攻击，只是当时黑客所使用的文件类型和受害者目前收到的电子邮件地址有一些细微的差异。研究人员表示，这一系列活动可能是针对德国发起的。因为，此前发现的攻击与2020年2月观察到的攻击中使用的基础结构有很大重叠部分，表明这两个威胁背后都是同一威胁组织。（文章来源 E安全）

原文地址 https://www.easyaq.com