TA505黑客組織通過將合法的遠(yuǎn)程管理工具修改為黑客工具，攻擊了美國、歐洲、亞太和拉丁美洲的金融機(jī)構(gòu)。

據(jù)外媒報道，TA505黑客組織將合法的遠(yuǎn)程管理工具修改為黑客工具，攻擊了美國、歐洲、亞太和拉丁美洲的金融機(jī)構(gòu)。據(jù)信，TA505黑客組織參與了Dridex、Locky勒索軟件、ServHelper惡意軟件、FlawedAmmyy等多種網(wǎng)絡(luò)攻擊。

這個黑客組織主要進(jìn)入金融機(jī)構(gòu)系統(tǒng)進(jìn)行欺詐性金融交易來獲取財(cái)務(wù)數(shù)據(jù)。TA505組織獲得RMS的破解版后，利用支持多顯示器的遠(yuǎn)程控制、任務(wù)管理器、文件傳輸、命令行接口、網(wǎng)絡(luò)映射功能、攝像頭和麥克風(fēng)訪問等功能進(jìn)行攻擊。

大多數(shù)遠(yuǎn)程訪問木馬能夠通過命令和控制服務(wù)器與操作員通信。RMS包含“ID-Internet”特性，該特性可以與開發(fā)人員的服務(wù)器進(jìn)行通信，通過電子郵件發(fā)送通知。

攻擊者利用帶有誘餌文件的魚叉式網(wǎng)絡(luò)釣魚活動，利用合法的對話、標(biāo)識和術(shù)語欺騙受害者。一旦受害者打開文檔，指示他們禁用安全控件來執(zhí)行宏，該宏就會通過命令和控制基礎(chǔ)設(shè)施從攻擊者那里下載惡意負(fù)載。

初始惡意軟件下載器更為復(fù)雜，主要用于收集遠(yuǎn)程訪問木馬、合法的RMS工具、shell腳本和服務(wù)器等組件來感染目標(biāo)系統(tǒng)竊取財(cái)務(wù)數(shù)據(jù)。