TA505黑客組織通過將合法的遠程管理工具修改為黑客工具，攻擊了美國、歐洲、亞太和拉丁美洲的金融機構(gòu)。

據(jù)外媒報道，TA505黑客組織將合法的遠程管理工具修改為黑客工具，攻擊了美國、歐洲、亞太和拉丁美洲的金融機構(gòu)。據(jù)信，TA505黑客組織參與了Dridex、Locky勒索軟件、ServHelper惡意軟件、FlawedAmmyy等多種網(wǎng)絡(luò)攻擊。

這個黑客組織主要進入金融機構(gòu)系統(tǒng)進行欺詐性金融交易來獲取財務(wù)數(shù)據(jù)。TA505組織獲得RMS的破解版后，利用支持多顯示器的遠程控制、任務(wù)管理器、文件傳輸、命令行接口、網(wǎng)絡(luò)映射功能、攝像頭和麥克風(fēng)訪問等功能進行攻擊。

大多數(shù)遠程訪問木馬能夠通過命令和控制服務(wù)器與操作員通信。RMS包含“ID-Internet”特性，該特性可以與開發(fā)人員的服務(wù)器進行通信，通過電子郵件發(fā)送通知。

攻擊者利用帶有誘餌文件的魚叉式網(wǎng)絡(luò)釣魚活動，利用合法的對話、標識和術(shù)語欺騙受害者。一旦受害者打開文檔，指示他們禁用安全控件來執(zhí)行宏，該宏就會通過命令和控制基礎(chǔ)設(shè)施從攻擊者那里下載惡意負載。

初始惡意軟件下載器更為復(fù)雜，主要用于收集遠程訪問木馬、合法的RMS工具、shell腳本和服務(wù)器等組件來感染目標系統(tǒng)竊取財務(wù)數(shù)據(jù)。