编辑：左右里

TA505是世界上最成功最活跃的网络犯罪团伙之一，于2014年开始进入大众视野，近来主要针对零售业和银行业发起攻击。TA505是Dridex银行木马和Locky勒索软件的幕后黑手，通过Necurs僵尸网络进行网络钓鱼攻击。

该组织还以规避技术而闻名，通过利用LOLBins、受害者经常使用的合法程序等方式进行渗透，能够有效避过安全检测。

LOLbins是Windows系统的自身签名文件，所以自带免杀属性，能通过很多应用程序的白名单。

网络安全公司” Prevailion”的安全专家报告说，TA505已经损害了超过1000个组织。对TA505进行分析后，许多安全研究机构猜测该组织可能来自东欧地区以俄语为主要语言的国家。

9月，Morphisec的研究人员观察到一起恶意攻击活动，除利用电子邮件外，还通过Google Feedproxy URL、SharePoint、OneDrive等方式向攻击目标发送武器化的Excel文件。安全专家注意到，Excel 文档具有极其轻量级的恶意宏代码。用户打开Excel文件启用宏功能后，该宏代码将下载恶意程序并执行。

由于 ActiveX 兼容性问题，此活动中使用的宏代码只能在 32 位版本的 Office 上执行，以防沙箱检测。

宏代码通过以下检查来决定是否执行攻击：

计算机名称等于用户域；

用户名为“admin”或“administration”。

研究人员观察到文档的不同变体，在其中一个变种中没有任何防沙盒，宏码隐藏在语言和代码文件信息属性后面，后来它移动到表格单元。此外，代码在之前的混淆上又添加了一个模糊层。

TA505已经活动了数年的时间，尽管已有执法机构通过打击僵尸网络等方式削弱其影响，但很明显效果有限。TA505还在不断改进恶意软件，从攻击的复杂度、迷惑性等方面不断进化。与之类似的组织还有许多，建议大家对不明文件保持警惕。

资讯来源：securityaffairs

转载请注明出处和本文链接

推荐文章++++

* 全球月活第二的社交应用WhatsApp推进聊天记录加密

* 微软10月累积更新，修复4个0day漏洞

* 苹果发布安全更新，修复已被利用的0day漏洞

* 千万部安卓手机中招，恶意软件每月窃取数百万英镑

* 自动重置应用权限，谷歌推进Android隐私保护

* 今年已因网恋诈骗损失1.33亿美元，美国杀猪盘也猖獗

* 微软账户登录将不再需要密码

﹀

﹀

﹀

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com