TA505组织十一月最新威胁分析

背景

近期威胁情报中心猎影实验室在文件威胁分析平台上监控发现TA505组织又有新的活动出现，经文件威胁分析平台监测发现，国内多处受到影响。

TA505是国外安全公司Proofpoint研究团队最早披露并命名的网络犯罪组织，其攻击活动可以追溯到2014年，主要针对全球金融机构进行攻击活动。该组织攻击活动比较活跃，攻击范围也在变大。

分析

近期捕获的样本名称为“PO 100319花草 的包装方式.xls”，是一个包含恶意宏的Excel文档。

打开文档

执行宏代码会出现一个伪装的进度条图片，并会释放dll并加载执行，该dll会解密出最终载荷并加载执行。

该dll载荷和TA505组织 9、10月份攻击所使用的载荷相同，如和国外厂商10月份披露的某个样本进行比较(md5: 1f72054db015765232f83e9c2e14ece9)发现功能基本是一致的。

解出的dll功能主要在“CHECHE”导出函数中，样本会搜集计算机名、用户名、系统信息等内容，发送到“hxxps://microsoft-store-en[.]com/490183”，并等待返回下一阶段指令或模块。

经过文件威胁分析平台分析发现国内多处成该组织攻击目标。

另外，同期攻击国外的样本，

除了内容描述文字语言不同，宏代码和载荷都是一致或类似的。

说明该组织针对不同地区攻击会做一定的处理。