A TA505 egy 2014 óta aktív kiberbűnözői csoport, amely oktatási és pénzügyi intézményeket vesz célba. 2020 februárjában a hollandiai Maastrichti Egyetem, egy állami egyetem, arról számolt be, hogy áldozatul esett a TA505 által adathalász e-mailek segítségével végrehajtott hatalmas ransomware-támadásnak. A TA505 általában adathalász e-maileket használ rosszindulatú Excel-fájlok eljuttatására, amelyek megnyitásukkor kártékony kódot telepítenek a rendszerre. A TrendMicro 2019 júliusában végzett kutatása szerint a TA505 adathalász e-mailjei HTML-átirányítót tartalmazó mellékleteket használnak a rosszindulatú Excel-fájlok eljuttatására. A közelmúltban a Microsoft Security Intelligence csapata felfedezett egy új adathalász e-mail kampányt, amely ugyanazt a támadási stratégiát alkalmazta. Ebben a blogbejegyzésben megvizsgáljuk a támadásban használt fájlokat, és megnézzük, hogyan segíthet OPSWAT Deep Content Disarm and Reconstruction (Deep CDR™ Technology) a hasonló támadások megelőzésében.
Támadási vektorok
Az alkalmazott támadási folyamat nagyon gyakori.:
- Az áldozatnak egy HTML-melléklettel ellátott adathalász e-mailt küldenek.
- Amikor az áldozat megnyitja a HTML fájlt, automatikusan letölt egy rosszindulatú makró Excel fájlt.
- Ez az Excel-fájl rosszindulatú hasznos terhet dob le, amikor az áldozat megnyitja azt.
A HTML- és Excel-fájlokat 2020. február elején a metadefender.opswat.com oldalon vizsgálták meg.
A HTML-fájlt egy hamis Cloudflare-oldalként azonosították, amely viszonylag egyszerű JavaScriptet tartalmazott, hogy a felhasználókat 5 másodperc után egy letöltési oldalra irányítsa át.
Az Excel-fájl több elfedett makrót tartalmaz.
Amikor az áldozat megnyitja a fájlt, és engedélyezi a Makrót, egy hamis Windows Process UI jelenik meg, amely valójában egy Visual Basic űrlap, és elhiteti az áldozattal, hogy az Excel éppen konfigurál valamit.
A háttérben a makró lefut, és a következő fájlokat helyezi el az áldozat rendszerén: C:\Users\user\AppData\Local\Temp\copy13.xlsx, C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates\sample_.dll (RAT).
Hogyan véd meg a Deep CDR™ technológia az adathalász támadásoktól?
Ha a HTML-fájlt a Deep CDR™ technológia tisztítja meg, akkor minden kockázati tényezőt eltávolítanak, beleértve a Javascriptet is. A folyamatot követően a felhasználó a megtisztított fájlt a korábban említett átirányítás nélkül nyitja meg. Ennek eredményeként a rosszindulatú Excel-fájl sem tölthető le.
Ezen felül a TA505 adathalász kampányai során a rosszindulatú Excel-fájlt közvetlenül e-mail mellékletként küldték el az áldozatoknak. Ebben az esetben is hatékonyan működik a Deep CDR™ technológia: eltávolít minden makrót és OLE-elemet, valamint rekurzív módon megtisztítja a fájlban található összes képet.
Következtetés
Megfigyelhető, hogy a TA505 manapság igen aktívan folytat e-mailes adathalász kampányokat. Különféle kifinomult kártevőprogramokat vetnek be annak érdekében, hogy növeljék a rendszerbe való behatolás esélyét. A vállalatoknak ajánlott, hogy fejlesszék alkalmazottaik adathalász-tudatosságot növelő képzését, valamint biztonsági rendszerüket. MetaDefender Core 6 iparágvezető kiberbiztonsági technológiát használ, kombinálva a MetaDefender Email Security-rel kombinálva a legátfogóbb védelmet nyújtja szervezetének. Multiscanning MetaDefender Multiscanning több mint 35 kereskedelmi antivírus-motor erejét használja fel az ismert rosszindulatú programok közel 100%-os felismerésére, míg a Deep CDR™ technológia az ismeretlen fenyegetések által okozott zero-day támadások ellen véd. Ezen felül, mint alapvető személyes adatvédelmi réteg, a Proactive DLP megakadályozza, hogy a fájlokban és e-mailekben található érzékeny adatok bejussanak a szervezetébe vagy onnan kikerüljenek.
Szervezzen találkozót az OPSWAT technikai szakértőjével, hogy megtudja, hogyan védheti meg szervezetét a fejlett kiberfenyegetésekkel szemben.
Hivatkozás:
