TA505黑客組織通過(guò)將合法的遠(yuǎn)程管理工具修改為黑客工具，攻擊了美國(guó)、歐洲、亞太和拉丁美洲的金融機(jī)構(gòu)。

據(jù)外媒報(bào)道，TA505黑客組織將合法的遠(yuǎn)程管理工具修改為黑客工具，攻擊了美國(guó)、歐洲、亞太和拉丁美洲的金融機(jī)構(gòu)。據(jù)信，TA505黑客組織參與了Dridex、Locky勒索軟件、ServHelper惡意軟件、FlawedAmmyy等多種網(wǎng)絡(luò)攻擊。

這個(gè)黑客組織主要進(jìn)入金融機(jī)構(gòu)系統(tǒng)進(jìn)行欺詐性金融交易來(lái)獲取財(cái)務(wù)數(shù)據(jù)。TA505組織獲得RMS的破解版后，利用支持多顯示器的遠(yuǎn)程控制、任務(wù)管理器、文件傳輸、命令行接口、網(wǎng)絡(luò)映射功能、攝像頭和麥克風(fēng)訪問(wèn)等功能進(jìn)行攻擊。

大多數(shù)遠(yuǎn)程訪問(wèn)木馬能夠通過(guò)命令和控制服務(wù)器與操作員通信。RMS包含“ID-Internet”特性，該特性可以與開發(fā)人員的服務(wù)器進(jìn)行通信，通過(guò)電子郵件發(fā)送通知。

攻擊者利用帶有誘餌文件的魚叉式網(wǎng)絡(luò)釣魚活動(dòng)，利用合法的對(duì)話、標(biāo)識(shí)和術(shù)語(yǔ)欺騙受害者。一旦受害者打開文檔，指示他們禁用安全控件來(lái)執(zhí)行宏，該宏就會(huì)通過(guò)命令和控制基礎(chǔ)設(shè)施從攻擊者那里下載惡意負(fù)載。

初始惡意軟件下載器更為復(fù)雜，主要用于收集遠(yuǎn)程訪問(wèn)木馬、合法的RMS工具、shell腳本和服務(wù)器等組件來(lái)感染目標(biāo)系統(tǒng)竊取財(cái)務(wù)數(shù)據(jù)。