小心Excel文档，TA505黑客组织利用其执行攻击

TA505是世界上最成功最活跃的网络犯罪团伙之一，于2014年开始进入大众视野，近来主要针对零售业和银行业发起攻击。TA505是Dridex银行木马和Locky勒索软件的幕后黑手，通过Necurs僵尸网络进行网络钓鱼攻击。

该组织还以规避技术而闻名，通过利用LOLBins、受害者经常使用的合法程序等方式进行渗透，能够有效避过安全检测。

LOLbins是Windows系统的自身签名文件，所以自带免杀属性，能通过很多应用程序的白名单。

网络安全公司” Prevailion”的安全专家报告说，TA505已经损害了超过1000个组织。对TA505进行分析后，许多安全研究机构猜测该组织可能来自东欧地区以俄语为主要语言的国家。

9月，Morphisec的研究人员观察到一起恶意攻击活动，除利用电子邮件外，还通过Google Feedproxy URL、SharePoint、OneDrive等方式向攻击目标发送武器化的Excel文件。安全专家注意到，Excel 文档具有极其轻量级的恶意宏代码。用户打开Excel文件启用宏功能后，该宏代码将下载恶意程序并执行。

由于 ActiveX 兼容性问题，此活动中使用的宏代码只能在 32 位版本的 Office 上执行，以防沙箱检测。

宏代码通过以下检查来决定是否执行攻击：

计算机名称等于用户域；

用户名为“admin”或“administration”。

研究人员观察到文档的不同变体，在其中一个变种中没有任何防沙盒，宏码隐藏在语言和代码文件信息属性后面，后来它移动到表格单元。此外，代码在之前的混淆上又添加了一个模糊层。

TA505已经活动了数年的时间，尽管已有执法机构通过打击僵尸网络等方式削弱其影响，但很明显效果有限。TA505还在不断改进恶意软件，从攻击的复杂度、迷惑性等方面不断进化。与之类似的组织还有许多，建议大家对不明文件保持警惕。