微軟已經(jīng)警告用戶一種針對(duì)Windows PC的新惡意軟件攻擊偽裝成Excel附件。微軟安全團(tuán)隊(duì)聲稱XLS附件包含一個(gè)復(fù)雜的感染鏈，可以直接在內(nèi)存中下載和運(yùn)行臭名昭著的FlawedAmmyy RAT，它使用宏功能來攻擊Windows PC。根據(jù)Proofpoint的說法，惡意活動(dòng)是由一個(gè)名為TA505的團(tuán)體發(fā)起的，F(xiàn)lawedAmmyy因其在財(cái)務(wù)和零售方面的業(yè)務(wù)而聞名。

、

異常檢測幫助我們發(fā)現(xiàn)了一個(gè)新的廣告系列，該廣告系列使用復(fù)雜的感染鏈直接在內(nèi)存中下載并運(yùn)行臭名昭著的FlawedAmmyy RAT。攻擊始于電子郵件和.xls附件，其中包含韓語內(nèi)容。pic.twitter.com/PQ2g7rvDQm -微軟安全情報(bào)(@MsftSecIntel)2019 6月21日，

此外，該組織經(jīng)常使用Microsoft附件和社交工程來破壞受害者的系統(tǒng)。攻擊開始于包含excel附件的電子郵件，當(dāng)自動(dòng)打開時(shí)，會(huì)自動(dòng)運(yùn)行運(yùn)行msiexec.exe的宏函數(shù)，該函數(shù)會(huì)下載MSI存檔。“ 這個(gè)MSI存檔包含一個(gè)經(jīng)過數(shù)字簽名的可執(zhí)行文件，它被解壓縮并運(yùn)行，并在內(nèi)存中解密并運(yùn)行另一個(gè)可執(zhí)行文件，”微軟指出。由于它將在內(nèi)存中運(yùn)行，因此只能掃描磁盤上的文件的防病毒軟件無法檢測到它。

然后下載并執(zhí)行名為wsus.exe的文件; 它還旨在繞過官方的Microsoft Windows服務(wù)更新服務(wù)(WSUS)。它于6月19日進(jìn)行了數(shù)字簽名，并在RAM中解密了有效載荷，提供了FlawedAmmyy有效載荷。由于excel附件是韓文腳本，因此可能適用于韓國Windows用戶。微軟聲稱“微軟威脅防護(hù)可以防止客戶受到這次攻擊。”后衛(wèi)ATP的機(jī)器學(xué)習(xí)系統(tǒng)“乍一看阻止了這次攻擊的所有組成部分，包括FlawedAmmyy RAT有效載荷。”