FlawedGrace RAT

FlawedGrace 是一個成熟的 RAT（遠程訪問威脅）的名稱，它是被追踪為TA505 （或 Hive0065）的受經濟動機的網絡犯罪團伙的威脅武器庫的一部分。該組織至少自 2014 年以來一直活躍，是最多產的組織之一，多次發起攻擊活動。 TA505 的另一個顯著特徵是它傾向於對其 TTP（戰術、技術和程序）以及惡意軟件威脅類型進行頻繁更改。該小組已發現開展大規模的垃圾郵件活動提供了Dridex銀木馬，在移動到分發之前Locky和JAFF勒索威脅，該TrickBot銀木馬等等。

有缺陷的恩典細節

信息安全研究人員第一次檢測到 FlawedGrace RAT 是在 2017 年 11 月。它是一種用 C++ 編程語言編寫的功能強大的 RAT。它能夠識別來自使用端口 443 通過自定義二進制協議發送的命令和控制服務器的多個傳入命令。可以指示威脅獲取其他損壞的模塊，然後加載並執行它們。它還可以下載和洩露選定的文件，收集敏感的用戶信息，例如密碼等。

在 TA505 進行的最新攻擊行動中，部署了 FlawedGrace RAT 的更新版本。雖然對這些變化的全面分析仍在進行中，但到目前為止，研究人員已經觀察到，該威脅現在使用加密字符串和混淆的 API 調用。另一個不同之處在於威脅存儲其配置的方式。初始或默認配置作為加密資源存儲在系統上。之後，它被一分為二——一個放置在映射內存區域中的當前配置實例和一個注入系統註冊表的持久性機制。