FlawedGrace RAT

FlawedGrace 是一个成熟的 RAT（远程访问威胁）的名称，它是被追踪为TA505 （或 Hive0065）的受经济动机的网络犯罪团伙的威胁武器库的一部分。该组织至少自 2014 年以来一直活跃，是最多产的组织之一，多次发起攻击活动。 TA505 的另一个显着特征是它倾向于对其 TTP（战术、技术和程序）以及恶意软件威胁类型进行频繁更改。该小组已发现开展大规模的垃圾邮件活动提供了Dridex银木马，在移动到分发之前Locky和JAFF勒索威胁，该TrickBot银木马等等。

有缺陷的恩典细节

信息安全研究人员第一次检测到 FlawedGrace RAT 是在 2017 年 11 月。它是一种用 C++ 编程语言编写的功能强大的 RAT。它能够识别来自使用端口 443 通过自定义二进制协议发送的命令和控制服务器的多个传入命令。可以指示威胁获取其他损坏的模块，然后加载并执行它们。它还可以下载和泄露选定的文件，收集敏感的用户信息，例如密码等。

在 TA505 进行的最新攻击行动中，部署了 FlawedGrace RAT 的更新版本。虽然对这些变化的全面分析仍在进行中，但到目前为止，研究人员已经观察到，该威胁现在使用加密字符串和混淆的 API 调用。另一个不同之处在于威胁存储其配置的方式。初始或默认配置作为加密资源存储在系统上。之后，它被分成两部分——一个放置在映射内存区域中的当前配置实例和一个注入系统注册表的持久性机制。