微软警告 TA505组织正在改变网络攻击策略

2020-02-03 20:53:50 2 1504

微软安全专家发现TA505网络犯罪团伙正在发起网络钓鱼活动,使用带有HTML重定向器附件发送恶意Excel文档。据悉,这是TA505团伙首次采用这种策略。

TA505黑客团伙自2014年以来一直活跃于零售和银行业。该团伙以一些规避技术而闻名,随着时间推移这些技术被用于安全规避控制,主要是通过几种恶意软件渗透到公司内部,如滥用所谓的LOLBins,使得受害者在合法情况下滥用程序。此外,TA505集团还与Locky、BitPaymer、费城、globeimparter和Jaff勒索软件家族一起参加了旨在分发Dridex banking特洛伊木马的活动。

网络安全公司Eversion的安全专家发表报告称:TA505已经危害了1000多个组织。

    “我们在对这场运动的分析过程中,我们能确定至少一家总部位于美国的电气公司、一家美国州政府网络以及世界上最大的25家显示出妥协迹象的银行都包含其中。”

目前,微软通过发布推特证实这项网络钓鱼活动。

    “这是第一次使用HTML重定向器观察Dudear ,其中,攻击者还使用不同语言的HTML文件。值得注意的是,他们还使用IP回溯服务来跟踪下载恶意Excel文件的固定IP地址。”

此外,微软专家还透露,攻击者正在使用电子邮件上附带的的HTML定向程序。一旦受害者打开邮件,HTML就会定向下载一个恶意的Excel文件,而该文件最终将丢弃有效载荷,攻击者可以使用IP回溯服务跟踪下载恶意Excel文件的计算机的IP地址。这是TA505第一次使用这种技术,过去,该组织使用携带恶意软件的垃圾邮件或者使用恶意的url来作为附件,在受害者被诱骗打开Excel文档后,不可以使用在线预览,但可进行文档编辑。

目前有好消息称:微软安全情报部门已经确认微软威胁防护系统能够中和攻击,office 365能够检测此活动中使用的恶意附件和URL,microsoft defender atp也能够检测TA 505使用的恶意html、excel文件和有效负载。

关于作者

ghcoxx24篇文章65篇回复

评论2次

要评论?请先  登录  或  注册