【安全资讯】TA575组织通过垃圾邮件传播Dridex木马

猎影实验室 2021-12-10 06:34:48 1916人浏览

引言

TA575组织是Dridex的附属机构,通过恶意 URL、Microsoft Office 附件和受密码保护的文件分发恶意软件。近日,TA575 组织以假日主题为诱饵,发送大量垃圾邮件,引导受害者下载Dridex 银行木马。

 

 

简况

2021年11月的攻击活动

此次攻击活动于2021年11月24日开始,TA575组织发送的电子邮件诱饵包括“黑色星期五亚马逊优惠券”、“假日攻击警告”、“感恩节 Ebay 礼品券”等。邮件示例如下:

 

邮件包含恶意Microsoft Excel 文件附件,一旦打开这些附件,就会使用XL4宏从URL下载并执行Dridex木马,关联id为“22201”。在2021年11月29日的活动中,Dridex的关联id为“22202”。TA575组织使用 Discord 内容交付网络 (CDN) 在今年的其他活动中托管和分发银行木马。

 

 

2021年12月的攻击活动

2021 年 12 月,TA575组织开始使用 Microsoft Excel 和 Word 附件通过 Discord URL、HTA 文件和远程模板来传递 Dridex。该活动同时使用了 Dridex 附属 ID“22201”和“22204”。在某些情况下,电子邮件诱饵包括在即将到来的假期所需的美国报税准备和虚假的自助税务服务。邮件实例如下图:

 

 

 

总结

在假期期间,用户会收到大量的购物优惠等广告链接,因此很容易打开危险文件或点击可疑链接。鉴于这些活动的广泛性质,可能会出现大量受到影响的组织或用户。

 

失陷指标(IOC)10
TA575 Dridex 银行木马 垃圾邮件 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。