"\u003Cdiv\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002Fbcf82f4155c147a8a62c32d1e9650c7d\" img_width=\"1200\" img_height=\"672\" alt=\"黑客組織TA544大揭祕：藉助多種病毒在意大利、日本等國興風作浪\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E從2017年2月開始，網絡安全公司Proofpoint的研究人員一直追蹤黑客組織TA544的活動。在當時，有報道稱該黑客組織在針對意大利用戶的惡意電子郵件活動中使用了Panda Banker惡意軟件。\u003C\u002Fp\u003E\u003Cp\u003E迄今爲止，這個以獲取經濟利益爲目的的黑客組織已經向日本和部分西歐國家的受害者發送了至少6種不同的惡意軟件（每天發送的惡意電子郵件超過數十萬封），目前主要使用的是Ursnif和URLZone銀行木馬。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Fd28de3588a9a42838999ba6dd07687a4\" img_width=\"974\" img_height=\"541\" alt=\"黑客組織TA544大揭祕：藉助多種病毒在意大利、日本等國興風作浪\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E圖1.TA544在2017年2月至2019年6月期間發送的惡意電子郵件統計\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003EUrsnif：TA544主要使用的惡意軟件\u003C\u002Fh1\u003E\u003Cp\u003EUrsnif，也被稱爲Dreambot、ISFB、Gozi或Papras，是一種典型的銀行木馬，主要具備如下功能：\u003C\u002Fp\u003E\u003Cul\u003E\u003Cli\u003E通過Web注入、代理和VNC連接從銀行網站竊取存儲的數據，包括密碼\u003C\u002Fli\u003E\u003Cli\u003E自我更新或遠程安裝模塊\u003C\u002Fli\u003E\u003C\u002Ful\u003E\u003Cp\u003EUrsnif有很多變種，通常在一些大規模惡意電子郵件活動中被使用（發送的惡意電子郵件數量通常都是幾十萬，甚至數百萬封。）\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003EUrsnif 1000\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003EUrsnif 1000是TA544使用最爲頻繁的惡意軟件之一，相關活動主要針對的是日本的IT、科技和銷售等行業。\u003C\u002Fp\u003E\u003Cp\u003E在大多數Ursnif 1000活動中，TA544都會使用多種技巧來驗證用戶是否位於日本。惡意軟件通過帶有惡意宏代碼的Microsoft Excel文檔傳播，一旦用戶啓用宏，URLZone（另一種銀行特木馬）就會被下載，用於下載最終的有效載荷Ursnif 1000。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003EUrsnif 4779\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E與Ursnif 1000一樣，Ursnif 4779也經常被TA544使用，相關活動主要針對的是意大利的科技、製造和IT等行業。\u003C\u002Fp\u003E\u003Cp\u003EUrsnif 4779主要通過以下兩種方式傳播：\u003C\u002Fp\u003E\u003Cul\u003E\u003Cli\u003E帶有惡意宏代碼的Microsoft Excel文檔\u003C\u002Fli\u003E\u003Cli\u003E內嵌惡意PowerShell命令的圖片（隱寫術）\u003C\u002Fli\u003E\u003C\u002Ful\u003E\u003Ch1\u003ETA544的主要攻擊目標\u003C\u002Fh1\u003E\u003Cp\u003E自2017年以來，TA544已將惡意電子郵件發送到了多個國家，主要包括：意大利（正在進行）、日本（正在進行）、德國（已停止）、波蘭（已停止）和西班牙（已停止）。\u003C\u002Fp\u003E\u003Cp\u003E針對不同的國家，TA544用來編寫電子郵件的語言和使用的惡意軟件也不同，所針對的行業也有所區別，具體如下表所示：\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F0002a478be4f489c9d54face04d2d50d\" img_width=\"779\" img_height=\"506\" alt=\"黑客組織TA544大揭祕：藉助多種病毒在意大利、日本等國興風作浪\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E表1.TA544的主要攻擊目標\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E如上所述，TA544最初的攻擊目標是意大利用戶，主要使用了Panda Banker。2017年3月，TA544在德國使用Ursnif變種進行了短暫的測試，僅在短短的一個月之後就停止在該地區的活動。\u003C\u002Fp\u003E\u003Cp\u003E與之相似的，TA544還在2017年8月-9月期間使用ZLoader在西班牙進行了測試。在這個過程中，TA544還使用Nymaim在波蘭開展了長達一年之久的活動。\u003C\u002Fp\u003E\u003Cp\u003E從2018年9月開始，TA544開始集中攻擊日本用戶，主要使用了Ursnif變種（特別是Ursnif 1000）和URLZone。\u003C\u002Fp\u003E\u003Cp\u003E目前，TA544的活動主要集中在日本和意大利。用來攻擊日本用戶的惡意軟件已經從Ursnif替換爲了Panda，而用來攻擊意大利用戶的最新Ursnif變種是Ursnif 4000（包括4777、4778、4779、4780，統稱爲4XXX）。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F0d46cd7145fc4e62a2a37c0d5a09529f\" img_width=\"1056\" img_height=\"514\" alt=\"黑客組織TA544大揭祕：藉助多種病毒在意大利、日本等國興風作浪\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E圖2.TA544的活動歷史\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003ETA544活動分析\u003C\u002Fh1\u003E\u003Cp\u003E在針對日本用戶的惡意電子郵件活動中，TA544通常會以“付款”作爲主題，例如：\u003C\u002Fp\u003E\u003Cul\u003E\u003Cli\u003E\"Re: 請求書の送付\"\u003C\u002Fli\u003E\u003Cli\u003E\"Re: 請求書送付のお願い\"\u003C\u002Fli\u003E\u003Cli\u003E\"契約書雛形のご送付\"\u003C\u002Fli\u003E\u003Cli\u003E\"ご案內[お支払い期限:06月18日]\"\u003C\u002Fli\u003E\u003Cli\u003E\"請求書の件です。\"\u003C\u002Fli\u003E\u003Cli\u003E\"請求書送付\"\u003C\u002Fli\u003E\u003C\u002Ful\u003E\u003Cp\u003E電子郵件正文通常是關於“付款截止日期”的簡短說明，附件通常是帶有惡意宏代碼的Microsoft Excel文檔，文件名通常是隨機的數字組合，例如：\u003C\u002Fp\u003E\u003Cul\u003E\u003Cli\u003E\"12345_0001.xls\"\u003C\u002Fli\u003E\u003Cli\u003E\"1234_56_007.XLS\"\u003C\u002Fli\u003E\u003Cli\u003E\"0001_123_4567.XLS\"\u003C\u002Fli\u003E\u003C\u002Ful\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F17343b0f93f04390934dfc1d1d5c8f2b\" img_width=\"974\" img_height=\"639\" alt=\"黑客組織TA544大揭祕：藉助多種病毒在意大利、日本等國興風作浪\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E圖3. 帶有Microsoft Excel附件的電子郵件（日本，2019年4月）\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E其中一些電子郵件的附件還有可能是一張圖片，這些圖片內嵌有能夠從由TA544控制的惡意網站下載並安裝惡意軟件（通常是URLZone或Ursnif 1000）的腳本。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002Fba5dc34e11eb42a7a9b302e8b12ca3aa\" img_width=\"504\" img_height=\"479\" alt=\"黑客組織TA544大揭祕：藉助多種病毒在意大利、日本等國興風作浪\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E圖4.隱寫術圖片（日本，2019年4月）\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F9cada4b76b4d49a5bbc9c0fc5bff2b5c\" img_width=\"974\" img_height=\"681\" alt=\"黑客組織TA544大揭祕：藉助多種病毒在意大利、日本等國興風作浪\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E圖5.隱寫術圖片（日本，2019年5月）\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003ETA544使用了相同的策略來攻擊意大利用戶，電子郵件主題包括：\u003C\u002Fp\u003E\u003Cul\u003E\u003Cli\u003E\"documenti sig.\"\u003C\u002Fli\u003E\u003Cli\u003E\"Fattura per bonifico\"\u003C\u002Fli\u003E\u003Cli\u003E\"Fatturazione 123456\"（隨機數字）\u003C\u002Fli\u003E\u003Cli\u003E\"fatture scadute\"\u003C\u002Fli\u003E\u003C\u002Ful\u003E\u003Cp\u003E電子郵件附件通常也是帶有惡意宏代碼的Microsoft Excel文檔，一旦用戶啓用宏，就將導致Ursnif 4XXX被下載。Excel文檔文件名通常是隨機數字加上當天的日期，示例如下：\u003C\u002Fp\u003E\u003Cul\u003E\u003Cli\u003E\"(9)__2019__03_8765432F.XLS\"\u003C\u002Fli\u003E\u003Cli\u003E\"20190321 D O C 98765_43.xls\"\u003C\u002Fli\u003E\u003Cli\u003E\"FtDiff0000 000000D_M_S_987654.XLS\"\u003C\u002Fli\u003E\u003C\u002Ful\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F575ec0b5942e4714b4a04e0cb5ce7621\" img_width=\"974\" img_height=\"864\" alt=\"黑客組織TA544大揭祕：藉助多種病毒在意大利、日本等國興風作浪\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E圖6. 帶有惡意宏代碼的電子郵件（意大利，2019年5月）\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002Fe264096455114788abf129835250799b\" img_width=\"754\" img_height=\"847\" alt=\"黑客組織TA544大揭祕：藉助多種病毒在意大利、日本等國興風作浪\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E圖7. 帶有惡意宏代碼的電子郵件（意大利，2019年6月）\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E其中一些電子郵件的附件也可能是一張圖片，這些圖片內嵌有能夠從由TA544控制的惡意網站下載並安裝Ursnif的腳本。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F700fb7fd272b4de1a9ec3870a19ac9c7\" img_width=\"343\" img_height=\"312\" alt=\"黑客組織TA544大揭祕：藉助多種病毒在意大利、日本等國興風作浪\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E圖8.隱寫術圖片（意大利，2019年6月）\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E結論\u003C\u002Fh1\u003E\u003Cp\u003E自2017年初以來，TA544已成爲全球最爲活躍、多產的黑客組織之一。在過去的兩年裏，該組織已向包括意大利和日本在內的多個國家發送了數千萬封惡意電子郵件。\u003C\u002Fp\u003E\u003Cp\u003ETA544最初的攻擊目標是意大利用戶，並專注於使用Panda銀行木馬，但它後來的活動擴展到了波蘭、德國、西班牙和日本，並且使用了其他多種惡意軟件，包括Chthonic，Smoke Loader、Nymaim、ZLoader，以及URLZone和Ursnif這兩種銀行木馬。\u003C\u002Fp\u003E\u003Cp\u003E鑑於TA544近期的活動，Proofpoint的研究人員認爲日本和意大利將是TA544今後很長一段時間的主要攻擊目標，且仍將繼續利用帶有惡意宏代碼的Microsoft Excel文檔和隱寫術圖片來傳播惡意軟件。\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E"'.slice(6, -6), groupId: '6717505354038510093