自2014年以来，TA505 *** 间谍组织就一直保持活跃状态，过去几年里该组织已经通过利用银行木马Dridex以及勒索软件Locky和Jaff作为攻击工具成功发起了多起大型的 *** 攻击活动。与以往不同的是，在针对亚洲国家的攻击活动中，TA505主要使用了新型恶意软件Gelup和FlowerPippi。

　　针对中东地区攻击活动分析

　　6月11日，TA505 *** 间谍组织针对阿联酋，沙特 *** 和摩洛哥发动了垃圾邮件攻击活动，本次攻击活动使用的垃圾邮件附件是.html或者.xls文件。附件HTML文件运行后，首先会下载包含恶意Excel 4.0宏的Excel文件，执行恶意宏以后，其会下载FlawedAmmyy安装包文件并安装FlawedAmmyy RAT。

垃圾邮件攻击流程图

　　如果附件是.xls文件，该文件自身会包含恶意Excel 4.0宏代码，其运行后同样是下载FlawedAmmyy安装包文件并安装FlawedAmmyy RAT。

TA505攻击中东国家邮件样本

　　6月13日，研究人员再次截获垃圾邮件攻击样本，这些垃圾邮件附件除了包含之前的.html和.excel文件，还增加了.doc文件。

　　6月14日，研究人员看到TA505持续对阿联酋进行攻击，其使用的攻击手段及技术与之前的类似，此次攻击是通过Amadey僵尸 *** 发送垃圾邮件，其使用了Wizard(.wiz)文件，最终的目标仍然是下载安装FlawedAmmyy RAT。

　　6月18日，研究人员截获的垃圾邮件主题大多具有诱惑性，欺骗用户点击，如“您的RAKBANK税务发票”、“免税额度”或者“确认函”。其附件同样是使用上述.html文件，带有恶意宏的Excel或者Word文档，最终目的是下载安装FlawedAmmyy RAT和Amadey。随后其会传送“EmailStealer”信息窃取程序，在受害者的机器中窃取邮件传输协议（ *** TP）凭据和电子邮件地址。