小心Excel文件，TA505黑客組織利用其執行攻擊

編輯：左右裡

TA505是世界上最成功最活躍的網路犯罪團伙之一，於2014年開始進入大眾視野，近來主要針對零售業和銀行業發起攻擊。TA505是Dridex銀行木馬和Locky勒索軟體的幕後黑手，通過Necurs殭屍網路進行網路釣魚攻擊。

該組織還以規避技術而聞名，通過利用LOLBins、受害者經常使用的合法程式等方式進行滲透，能夠有效避過安全檢測。

LOLbins是Windows系統的自身簽名檔案，所以自帶免殺屬性，能通過很多應用程式的白名單。

網路安全公司” Prevailion”的安全專家報告說，TA505已經損害了超過1000個組織。對TA505進行分析後，許多安全研究機構猜測該組織可能來自東歐地區以俄語為主要語言的國家。

9月，Morphisec的研究人員觀察到一起惡意攻擊活動，除利用電子郵件外，還通過Google Feedproxy URL、SharePoint、OneDrive等方式向攻擊目標傳送武器化的Excel檔案。安全專家注意到，Excel 文件具有極其輕量級的惡意巨集程式碼。使用者開啟Excel檔案啟用巨集功能後，該巨集程式碼將下載惡意程式並執行。

由於 ActiveX 相容性問題，此活動中使用的巨集程式碼只能在 32 位版本的 Office 上執行，以防沙箱檢測。

巨集程式碼通過以下檢查來決定是否執行攻擊：

計算機名稱等於使用者域；

使用者名稱為“admin”或“administration”。

研究人員觀察到文件的不同變體，在其中一個變種中沒有任何防沙盒，巨集碼隱藏在語言和程式碼檔案資訊屬性後面，後來它移動到表格單元。此外，程式碼在之前的混淆上又新增了一個模糊層。

TA505已經活動了數年的時間，儘管已有執法機構通過打擊殭屍網路等方式削弱其影響，但很明顯效果有限。TA505還在不斷改進惡意軟體，從攻擊的複雜度、迷惑性等方面不斷進化。與之類似的組織還有許多，建議大家對不明檔案保持警惕。

資訊來源：securityaffairs

轉載請註明出處和本文連結

推薦文章++++

* 全球月活第二的社交應用WhatsApp推進聊天記錄加密

* 微軟10月累積更新，修復4個0day漏洞

* 蘋果釋出安全更新，修復已被利用的0day漏洞

* 千萬部安卓手機中招，惡意軟體每月竊取數百萬英鎊

* 自動重置應用許可權，谷歌推進Android隱私保護

* 今年已因網戀詐騙損失1.33億美元，美國殺豬盤也猖獗

* 微軟賬戶登入將不再需要密碼

﹀

﹀

﹀

公眾號ID：ikanxue

官方微博：看雪安全

商務合作：wsc@kanxue.com