瑞星网络攻击报告：黑客组织TA505近期网络攻击分析

　　近日，瑞星威胁情报系统捕获到一起针对韩国的钓鱼邮件攻击事件，韩国多家公司被攻击，攻击者会伪装成合作公司、会计事务所等，向被攻击者发送钓鱼邮件，邮件中携带着恶意附件。据韩国安全人员发布的统计信息，已发现的有上千个公司邮箱收到恶意邮件。

　　攻击者一旦攻击成功，受害者机器就会被远程控制，导致重要信息被窃取。攻击者还可以通过窃取的账号密码等信息，进一步攻击内网中的其它机器，投递其它木马、病毒或勒索软件，攻击者还可能通过窃取的账号密码信息，窃取用户的银行账户。或是把窃取的信息贩卖给其它犯罪团伙，从事其它犯罪行为。

　　瑞星安全专家通过对攻击者所使用的数字签名、技术手法、命名风格等行为进行分析，发现此攻击事件是知名网络攻击组织“TA505”所为。

　　TA505是国外安全公司Proofpoint研究团队最早披露并命名的一个活动非常频繁的网络犯罪组织，根据目前收集到的数据，2014年该组织分发了上百次Dridex恶意银行木马，2016年和2017年的进行大规模Locky木马攻击活动，而且其中的很多攻击活动涉及到了全世界数以亿计的恶意消息。2018年开始投递FlawedAmmyy木马，针对银行、金融机构、工商业进行定向攻击。

　　技术分析

　　(一)恶意邮件分析

　　瑞星威胁情报系统捕获到的钓鱼邮件主要有两种类型，一种是附件中含有恶意xls文档，另一种是附件中含有恶意doc文档，两者都会通过脚本下载运行病毒msi安装包，最终下载运行远控木马。

　　1、内含恶意xls文档的钓鱼邮件

　　图：内含xls文档的钓鱼邮件

　　通过对钓鱼邮件的内容翻译后，可以发现此钓鱼邮件伪装的是合作公司。

　　图：钓鱼邮件内容翻译

　　xls文档含有恶意宏脚本。

　　图：恶意xls文档内容

　　宏脚本非常隐蔽，攻击者将其放到了隐藏的工作表中。

　　图：隐藏的xls工作表

　　宏脚本为了对抗查杀，并没有使用VBA宏，而是XLM宏。XLM宏非常“古老”，据说是Excel 5之前用于编程控制Excel的“语言”，数百个XLM宏函数提供了控制Excel的几乎全部功能。自从在Excel 5中引入更易学习且更强大的VBA后，XLM宏函数逐渐被VBA所取代。

　　图：恶意宏脚本

　　宏脚本运行之后下载运行恶意程序。

　　2、内含恶意doc文档的钓鱼邮件

　　另外一个内含doc文档的钓鱼邮件。

　　图：内含doc文档的钓鱼邮件

　　通过对钓鱼邮件的内容翻译后，可以发现此钓鱼邮件伪装的是会计事务所。

　　图：邮件内容翻译

　　图：恶意doc文档内容

　　可以看到恶意下载脚本与上面分析的xls文件从同一个地址下载恶意程序。

　　图：下载地址

　　(二)恶意程序分析

　　下载的恶意程序是一个下载者木马，主要负责下载后面的木马程序，此文件使用exetomsi将exe打包成msi程序。

　　图：打包的msi程序

　　木马运行后，首先循环执行500000次没有意义的代码，拖延时间反沙箱。

　　图：拖延时间反沙箱

　　然后检测杀软进程，以下进程中如果有一个存在，则退出不执行恶意功能。