A TA505 egy kiberbűnözési csoport, amely 2014 óta aktív, és oktatási és pénzügyi intézményeket vesz célba. 2020 februárjában a Maastrichti Egyetem, egy hollandiai állami egyetem arról számolt be, hogy a TA505 adathalász e-maileket használó, nagyszabású zsarolóvírus-támadásának áldozata lett. A TA505 általában adathalász e-maileket használ, hogy rosszindulatú Excel-fájlokat juttasson el, amelyek megnyitását követően hasznos terhet dobnak le. A TA505 adathalász e-mailek a TrendMicro 2019 júliusában végzett kutatása szerint HTML átirányítóval ellátott mellékleteket használnak a rosszindulatú Excel-fájlok kézbesítéséhez. Nemrég egy új, ugyanezt a támadási stratégiát alkalmazó adathalász e-mail kampányt fedezett fel a Microsoft Security Intelligence csapata. Ebben a blogbejegyzésben megnézzük a támadásban használt fájlokat, és megvizsgáljuk, hogy az OPSWAT' Deep Content Disarm and Reconstruction (Deep CDR) technológiája hogyan segíthet a hasonló támadások megelőzésében.
Támadási vektorok
Az alkalmazott támadási folyamat nagyon gyakori.:
- Az áldozatnak egy HTML-melléklettel ellátott adathalász e-mailt küldenek.
- Amikor az áldozat megnyitja a HTML fájlt, automatikusan letölt egy rosszindulatú makró Excel fájlt.
- Ez az Excel-fájl rosszindulatú hasznos terhet dob le, amikor az áldozat megnyitja azt.
A HTML- és Excel-fájlokat 2020. február elején a metadefender.opswat.com oldalon vizsgálták meg.
A HTML-fájlt egy hamis Cloudflare-oldalként azonosították, amely viszonylag egyszerű JavaScriptet tartalmazott, hogy a felhasználókat 5 másodperc után egy letöltési oldalra irányítsa át.
Az Excel-fájl több elfedett makrót tartalmaz.
Amikor az áldozat megnyitja a fájlt, és engedélyezi a Makrót, egy hamis Windows Process UI jelenik meg, amely valójában egy Visual Basic űrlap, és elhiteti az áldozattal, hogy az Excel éppen konfigurál valamit.
A háttérben a makró lefut, és a következő fájlokat helyezi el az áldozat rendszerén: C:\Users\user\AppData\Local\Temp\copy13.xlsx, C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates\sample_.dll (RAT).
Hogyan védekezhet a Deep CDR az adathalász-támadások ellen?
Ha a HTML-fájlt a Deep CDR szanálja, minden kockázati vektor eltávolításra kerül, beleértve a Javascriptet is. A folyamat után a felhasználó az említett átirányítás nélkül nyitja meg a szanált fájlt. Ennek eredményeképpen a rosszindulatú Excel fájl sem tölthető le.
A TA505 adathalászkampányai emellett a rosszindulatú Excel-fájlt e-mail mellékletként közvetlenül az áldozatoknak küldték. Ebben az esetben is hatékony a Deep CDR . Eltávolít minden makrót, OLE-t, és rekurzív módon szanálja a fájlban lévő összes képet.
Következtetés
A TA505 manapság nagyon aktív az e-mailes adathalász kampányokban. Különböző kifinomult malware típusokat használtak, hogy növeljék az esélyét, hogy bejusson a rendszerbe. A vállalkozásoknak azt tanácsolják, hogy javítsák az alkalmazottak adathalász-tudatossági képzését, valamint a biztonsági rendszerüket. MetaDefender Core 6 iparágvezető kiberbiztonsági technológia kihasználásával, a következőkkel együtt. MetaDefender Email Security, a legátfogóbb védelmet nyújtja az Ön szervezetének. MetaDefenderA Multiscanning technológia több mint 35 kereskedelmi AV-motor erejét használja fel, hogy közel 100%-ban felismerje az ismert rosszindulatú szoftvereket, miközben a Deep CDR ismeretlen fenyegetések nulladik napi támadásai ellen is védelmet nyújt. Emellett, mint alapvető PII védelmi réteg, Proactive DLP megakadályozza, hogy a fájlokban és e-mailekben lévő érzékeny adatok bejussanak a szervezetébe vagy elhagyják azt.
Szervezzen találkozót az OPSWAT technikai szakértőjével, hogy megtudja, hogyan védheti meg szervezetét a fejlett kiberfenyegetésekkel szemben.
Hivatkozás:
