微软已经警告用户一种针对Windows PC的新恶意软件攻击伪装成Excel附件。微软安全团队声称XLS附件包含一个复杂的感染链，可以直接在内存中下载和运行臭名昭着的FlawedAmmyy RAT，它使用宏功能来攻击Windows PC。根据Proofpoint的说法，恶意活动是由一个名为TA505的团体发起的，FlawedAmmyy因其在财务和零售方面的业务而闻名。

、

异常检测帮助我们发现了一个新的广告系列，该广告系列使用复杂的感染链直接在内存中下载并运行臭名昭着的FlawedAmmyy RAT。攻击始于电子邮件和.xls附件，其中包含韩语内容。pic.twitter.com/PQ2g7rvDQm -微软安全情报(@MsftSecIntel)2019 6月21日，

此外，该组织经常使用Microsoft附件和社交工程来破坏受害者的系统。攻击开始于包含excel附件的电子邮件，当自动打开时，会自动运行运行msiexec.exe的宏函数，该函数会下载MSI存档。“ 这个MSI存档包含一个经过数字签名的可执行文件，它被解压缩并运行，并在内存中解密并运行另一个可执行文件，”微软指出。由于它将在内存中运行，因此只能扫描磁盘上的文件的防病毒软件无法检测到它。

然后下载并执行名为wsus.exe的文件; 它还旨在绕过官方的Microsoft Windows服务更新服务(WSUS)。它于6月19日进行了数字签名，并在RAM中解密了有效载荷，提供了FlawedAmmyy有效载荷。由于excel附件是韩文脚本，因此可能适用于韩国Windows用户。微软声称“微软威胁防护可以防止客户受到这次攻击。”后卫ATP的机器学习系统“乍一看阻止了这次攻击的所有组成部分，包括FlawedAmmyy RAT有效载荷。”