excel宏病毒-黑客组织TA544大揭秘：借助多种病毒在意大利、日本等国兴风作浪

从2017年2月开始，网络安全公司Proofpoint的研究人员一直追踪黑客组织TA544的活动。在当时，有报道称该黑客组织在针对意大利用户的恶意电子邮件活动中使用了Panda Banker恶意软件。

迄今为止，这个以获取经济利益为目的的黑客组织已经向日本和部分西欧国家的受害者发送了至少6种不同的恶意软件（每天发送的恶意电子邮件超过数十万封），目前主要使用的是Ursnif和URLZone银行木马。

图1.TA544在2017年2月至2019年6月期间发送的恶意电子邮件统计

Ursnif：TA544主要使用的恶意软件

Ursnif，也被称为Dreambot、ISFB、Gozi或Papras，是一种典型的银行木马，主要具备如下功能：

• 通过Web注入、代理和VNC连接从银行网站窃取存储的数据，包括密码
• 自我更新或远程安装模块

Ursnif有很多变种，通常在一些大规模恶意电子邮件活动中被使用（发送的恶意电子邮件数量通常都是几十万，甚至数百万封。）

Ursnif 1000

Ursnif 1000是TA544使用最为频繁的恶意软件之一，相关活动主要针对的是日本的IT、科技和销售等行业。

在大多数Ursnif 1000活动中，TA544都会使用多种技巧来验证用户是否位于日本。恶意软件通过带有恶意宏代码的Microsoft Excel文档传播，一旦用户启用宏，URLZone（另一种银行特木马）就会被下载，用于下载最终的有效载荷Ursnif 1000。

Ursnif 4779

与Ursnif 1000一样，Ursnif 4779也经常被TA544使用，相关活动主要针对的是意大利的科技、制造和IT等行业。

Ursnif 4779主要通过以下两种方式传播：

• 带有恶意宏代码的Microsoft Excel文档
• 内嵌恶意PowerShell命令的图片（隐写术）

TA544的主要攻击目标

自2017年以来，TA544已将恶意电子邮件发送到了多个国家，主要包括：意大利（正在进行）、日本（正在进行）、德国（已停止）、波兰（已停止）和西班牙（已停止）。

针对不同的国家，TA544用来编写电子邮件的语言和使用的恶意软件也不同，所针对的行业也有所区别，具体如下表所示：

表1.TA544的主要攻击目标

如上所述，TA544最初的攻击目标是意大利用户，主要使用了Panda Banker。2017年3月，TA544在德国使用Ursnif变种进行了短暂的测试，仅在短短的一个月之后就停止在该地区的活动。

与之相似的，TA544还在2017年8月-9月期间使用ZLoader在西班牙进行了测试。在这个过程中，TA544还使用Nymaim在波兰开展了长达一年之久的活动。

从2018年9月开始，TA544开始集中攻击日本用户，主要使用了Ursnif变种（特别是Ursnif 1000）和URLZone。

目前，TA544的活动主要集中在日本和意大利。用来攻击日本用户的恶意软件已经从Ursnif替换为了Panda，而用来攻击意大利用户的最新Ursnif变种是Ursnif 4000（包括4777、4778、4779、4780，统称为4XXX）。

图2.TA544的活动历史

TA544活动分析

在针对日本用户的恶意电子邮件活动中，TA544通常会以“付款”作为主题，例如：

• "Re: 請求書の送付"
• "Re: 請求書送付のお願い"
• "契約書雛形のご送付"
• "ご案内[お支払い期限:06月18日]"
• "請求書の件です。"
• "請求書送付"

电子邮件正文通常是关于“付款截止日期”的简短说明，附件通常是带有恶意宏代码的Microsoft Excel文档，文件名通常是随机的数字组合，例如：

• "12345_0001.xls"
• "1234_56_007.XLS"
• "0001_123_4567.XLS"

图3. 带有Microsoft Excel附件的电子邮件（日本，2019年4月）

其中一些电子邮件的附件还有可能是一张图片，这些图片内嵌有能够从由TA544控制的恶意网站下载并安装恶意软件（通常是URLZone或Ursnif 1000）的脚本。

图4.隐写术图片（日本，2019年4月）

图5.隐写术图片（日本，2019年5月）

TA544使用了相同的策略来攻击意大利用户，电子邮件主题包括：

• "documenti sig."
• "Fattura per bonifico"
• "Fatturazione 123456"（随机数字）
• "fatture scadute"

电子邮件附件通常也是带有恶意宏代码的Microsoft Excel文档，一旦用户启用宏，就将导致Ursnif 4XXX被下载。Excel文档文件名通常是随机数字加上当天的日期，示例如下：

• "(9)__2019__03_8765432F.XLS"
• "20190321 D O C 98765_43.xls"
• "FtDiff0000 000000D_M_S_987654.XLS"

图6. 带有恶意宏代码的电子邮件（意大利，2019年5月）

图7. 带有恶意宏代码的电子邮件（意大利，2019年6月）

其中一些电子邮件的附件也可能是一张图片，这些图片内嵌有能够从由TA544控制的恶意网站下载并安装Ursnif的脚本。

图8.隐写术图片（意大利，2019年6月）

结论

自2017年初以来，TA544已成为全球最为活跃、多产的黑客组织之一。在过去的两年里，该组织已向包括意大利和日本在内的多个国家发送了数千万封恶意电子邮件。

TA544最初的攻击目标是意大利用户，并专注于使用Panda银行木马，但它后来的活动扩展到了波兰、德国、西班牙和日本，并且使用了其他多种恶意软件，包括Chthonic，Smoke Loader、Nymaim、ZLoader，以及URLZone和Ursnif这两种银行木马。

鉴于TA544近期的活动，Proofpoint的研究人员认为日本和意大利将是TA544今后很长一段时间的主要攻击目标，且仍将继续利用带有恶意宏代码的Microsoft Excel文档和隐写术图片来传播恶意软件。