TA505组织十一月最新威胁分析
背景
近期威胁情报中心猎影实验室在文件威胁分析平台上监控发现TA505组织又有新的活动出现,经文件威胁分析平台监测发现,国内多处受到影响。
TA505是国外安全公司Proofpoint研究团队最早披露并命名的网络犯罪组织,其攻击活动可以追溯到2014年,主要针对全球金融机构进行攻击活动。该组织攻击活动比较活跃,攻击范围也在变大。
分析
近期捕获的样本名称为“PO 100319花草 的包装方式.xls”,是一个包含恶意宏的Excel文档。
打开文档
执行宏代码会出现一个伪装的进度条图片,并会释放dll并加载执行,该dll会解密出最终载荷并加载执行。
该dll载荷和TA505组织 9、10月份攻击所使用的载荷相同,如和国外厂商10月份披露的某个样本进行比较(md5: 1f72054db015765232f83e9c2e14ece9)发现功能基本是一致的。
解出的dll功能主要在“CHECHE”导出函数中,样本会搜集计算机名、用户名、系统信息等内容,发送到“hxxps://microsoft-store-en[.]com/490183”,并等待返回下一阶段指令或模块。
经过文件威胁分析平台分析发现国内多处成该组织攻击目标。
另外,同期攻击国外的样本,
除了内容描述文字语言不同,宏代码和载荷都是一致或类似的。
说明该组织针对不同地区攻击会做一定的处理。