微软安全专家发现TA505 *** 犯罪团伙正在发起 *** 钓鱼活动，使用带有HTML重定向器附件发送恶意Excel文档。据悉，这是TA505团伙首次采用这种策略。

TA505黑客团伙自2014年以来一直活跃于零售和银行业。该团伙以一些规避技术而闻名，随着时间推移这些技术被用于安全规避控制，主要是通过几种恶意软件渗透到公司内部，如滥用所谓的LOLBins，使得受害者在合法情况下滥用程序。此外，TA505集团还与Locky、BitPaymer、费城、globeimparter和Jaff勒索软件家族一起参加了旨在分发Dridex banking特洛伊木马的活动。

*** 安全公司Eversion的安全专家发表报告称：TA505已经危害了1000多个组织。

“我们在对这场运动的分析过程中，我们能确定至少一家总部位于美国的电气公司、一家美国州 *** *** 以及世界上更大的25家显示出妥协迹象的银行都包含其中。”

目前，微软通过发布推特证实这项 *** 钓鱼活动。

“这是之一次使用HTML重定向器观察Dudear ，其中，攻击者还使用不同语言的HTML文件。值得注意的是，他们还使用IP回溯服务来跟踪下载恶意Excel文件的固定IP地址。”

此外，微软专家还透露，攻击者正在使用电子邮件上附带的的HTML定向程序。一旦受害者打开邮件，HTML就会定向下载一个恶意的Excel文件，而该文件最终将丢弃有效载荷，攻击者可以使用IP回溯服务跟踪下载恶意Excel文件的计算机的IP地址。这是TA505之一次使用这种技术，过去，该组织使用携带恶意软件的垃圾邮件或者使用恶意的url来作为附件，在受害者被诱骗打开Excel文档后，不可以使用在线预览，但可进行文档编辑。

目前有好消息称：微软安全情报部门已经确认微软威胁防护系统能够中和攻击，office 365能够检测此活动中使用的恶意附件和URL，microsoft defender atp也能够检测TA 505使用的恶意html、excel文件和有效负载。

消息来源：securityaffairs， 译者：dengdeng，校审：吴烦恼
本文由 HackerNews.cc 翻译整理，封面来源于 *** 。
转载请注明“转自 HackerNews.cc ” 并附上原文链接