通过大规模电子邮件活动传播的新一代种族歧视

周二，网络安全研究人员揭开了一个影响广泛行业的多产网络犯罪团伙发动的大规模电子邮件攻击的序幕，该团伙的一个特定地区行动主要针对德国和奥地利。

企业安全公司Proofpoint高度信任地将恶意软件活动与TA505联系在一起，TA505是一个以财务为动机的威胁组织的名称，该组织至少自2014年以来一直活跃于网络犯罪业务，是臭名昭著的Dridex banking特洛伊木马和其他恶意工具库的幕后黑手，有缺陷的种族、中微子僵尸网络和Locky勒索软件等。

网络安全公司Morphisec Labs正在追踪同一个攻击链，并将其命名为“MirrorBlast”

据称，这些攻击始于一系列低容量电子邮件，每个阶段只发送数千条消息，然后在9月底和最近的10月13日升级，导致数万至数十万封电子邮件。

研究人员说：“许多活动，尤其是大批量活动，与2019年和2020年的历史性TA505活动非常相似。”。“这些共性包括类似的域名命名约定、电子邮件诱饵、Excel文件诱饵，以及有缺陷的Edgrace remote access特洛伊木马（RAT）的交付。”

该集团有2019冠状病毒疾病研究所、银行、零售企业、能源公司、医疗机构、航空公司和政府机构的盈利记录，其中恶意活动通常是在打开与钓鱼相关的信息中的恶意软件捆绑附件开始的，这与COVID-19更新有关，保险索赔或有关Microsoft OneDrive共享文件的通知。

NCC Group在2020年11月发布的一份分析报告中表示：“随着时间的推移，TA505从一个较小的合作伙伴演变为一个成熟的、自立的、多功能的犯罪行动，有着广泛的目标。”。“多年来，集团严重依赖第三方服务和工具来支持其欺诈活动，然而，从最初的感染到货币化，集团目前大多独立运营。”

然而，最新活动的成功取决于用户在打开恶意Excel附件后启用宏，在交付包含加密字符串和模糊API调用支持的FaultedGrace RAT的更新版本之前，下载模糊MSI文件以获取下一阶段加载程序。

有缺陷的种族—；首次观测于2017年11月—；是一个完全设计的远程访问木马（RAT），用C++编写，故意设计来阻止逆向工程和分析。它具有一系列功能，允许它与命令和控制服务器建立通信，以接收指令，并将这些命令的结果过滤回服务器。

该演员10月份的攻击浪潮对其战术的转变也具有重要意义，其中包括使用以Rebol和KiXtart等不寻常编程语言编写的重新装备的中间加载程序来代替Get2，Get2是该组织之前部署用于执行侦察、下载和安装最后阶段RAT有效载荷的下载程序。

Proofpoint说：“TA505是一个公认的威胁行为体，具有财务动机，并因以前所未有的规模开展恶意电子邮件活动而闻名。”。“该组织定期改变其TTP，被认为是网络犯罪领域的引领者。这个威胁参与者并不限制其目标集，事实上，它是一个与其选择攻击的地理位置和垂直方向平等的机会主义者。”

这家网络安全公司补充道：“这加上TA505灵活的能力，专注于最赚钱的东西，并在必要时改变其TTP，使其成为持续的威胁。”。