APT黑客TA505组织新添恶意软件AndroMut,预计在今夏活跃

据外媒报道，研究人员从一个著名的APT组织TA505中发现了名为AndroMut的新恶意软件，从受感染的受害者的计算机获得远程访问权限。

TA505黑客组织曾发起许多攻击，如Dridex，Locky勒索软件，ServHelper恶意软件，FlawedAmmyy等。

FlawedAmmyy被发现于2016年初，是个功能全面的RAT。Proofpoint研究人员通过垃圾邮件观察到了FlawedAmmyy，许多网络犯罪组织都使用它来进行攻击。黑客通过分发Word或Excel文件，使用宏来执行Msiexec命令。命令执行后，宏下载并执行FlawedAmmyy加载程序或AndroMut。

这次的新恶意软件AndroMut主要针对新加坡、阿联酋和美国金融机构。根据Proofpoint研究人员的说法，AndroMut是用C ++编写的新恶意软件，于2019年6月在野外被研究人员观察到。

AndroMut使用两种方法来解密字符串AndroMut使用两种方法来解密字符串，base64解密，或在ECB模式下使用AES-256解密。

此外，AndroMut使用各种反分析技术和持续性技术来逃避检测并使其难以分析。研究人员还观察到它与两个恶意软件下载程序Andromeda和QtLoader之间存在一些相似之处。

研究人员预计，TA505组织会在今年夏天频繁使用AndroMut下载器与FlawedAmmy RAT。