远程管理工具成帮凶 美国多地的金融机构沦陷

TA505黑客组织通过将合法的远程管理工具修改为黑客工具，攻击了美国、欧洲、亚太和拉丁美洲的金融机构。

据外媒报道，TA505黑客组织将合法的远程管理工具修改为黑客工具，攻击了美国、欧洲、亚太和拉丁美洲的金融机构。据信，TA505黑客组织参与了Dridex、Locky勒索软件、ServHelper恶意软件、FlawedAmmyy等多种网络攻击。

这个黑客组织主要进入金融机构系统进行欺诈性金融交易来获取财务数据。TA505组织获得RMS的破解版后，利用支持多显示器的远程控制、任务管理器、文件传输、命令行接口、网络映射功能、摄像头和麦克风访问等功能进行攻击。

大多数远程访问木马能够通过命令和控制服务器与操作员通信。RMS包含“ID-Internet”特性，该特性可以与开发人员的服务器进行通信，通过电子邮件发送通知。

攻击者利用带有诱饵文件的鱼叉式网络钓鱼活动，利用合法的对话、标识和术语欺骗受害者。一旦受害者打开文档，指示他们禁用安全控件来执行宏，该宏就会通过命令和控制基础设施从攻击者那里下载恶意负载。

初始恶意软件下载器更为复杂，主要用于收集远程访问木马、合法的RMS工具、shell脚本和服务器等组件来感染目标系统窃取财务数据。