Get2

在过去的几年中，有一个黑客组织在不断发展。它被称为TAT505，研究人员认为，该组织是臭名昭著的Locky Ransomware运动和Dridex银行木马的幕后黑手 。 TAT505集团似乎主要针对金融行业的公司。众所周知，黑客组织会在全球范围内发起攻击-美国，加拿大，新加坡，希腊，瑞典，乔治亚州等。当恶意软件研究人员研究最新的TAT505活动时，他们遇到了两个以前未知的恶意软件家族– SDBBot RAT和Get2 Trojan下载程序。

收集数据并提供次级有效载荷

与大多数Trojan下载器一样，Get2 Trojan渗透到主机后，它将开始收集有关主机硬件和所存在软件的信息。然后，所有收集的数据将被转发到运营商的服务器。此信息可帮助攻击者确定如何以最有效的方式继续操作。当Get2 Trojan的作者下定决心时，该威胁将收到辅助有效载荷，该有效载荷将立即植入受感染的系统中。恶意软件研究人员确定了三个单独的第二阶段有效负载，这些负载在Get2 Trojan下载程序的帮助下进行了部署：

• 9月9日，TAT505小组针对位于阿联酋，希腊，立陶宛，新加坡等地的金融机构发起了活动。
• 9月20日，黑客组织追捕了在美国和加拿大从事金融业活动的受害者。
• 10月7日，攻击者将所有精力仅集中在美国的目标上。

攻击者使用的感染Triguer是带有宏观效果的电子邮件附件。该目标将收到一封附加在电子邮件中的受损的Microsoft Excel文档。在10月7日进行的活动中，TAT505组选择将威胁性附件文件托管在外部服务器上。电子邮件中的URL链接被迅速缩短。如果攻击者设法说服他们的目标打开损坏的附件，则Get2 Trojan下载程序将获得绿灯开始攻击。然后，Get2木马将等待接收第二阶段有效负载，该负载将被安装在受感染的计算机上。众所周知，Get2 Trojan下载器可以部署四个不同的辅助负载–黑客，FlawedGrace RAT， "。snatch文件扩展" Ransomware和FlawedAmmyy RAT 。

很明显，Get2 Trojan下载器是TAT505组最喜欢的黑客工具之一。因此，将来我们可能会继续听到有关这种威胁的信息。随着Internet上潜伏着越来越多的威胁，企业需要开始更加认真地对待网络安全。