TA505是一个自2014年起活跃的网络犯罪团伙,主要针对教育和金融机构。2020年2月,荷兰公立大学马斯特里赫特大学报告称,该校遭到了TA505利用钓鱼邮件发起的大规模勒索软件攻击。 根据趋势科技(TrendMicro)2019年7月的研究,TA505通常利用钓鱼邮件发送恶意Excel文件,这些文件一旦被打开就会释放有效载荷。TA505的钓鱼邮件使用包含HTML重定向器的附件来分发恶意Excel文件。 近期,微软安全情报团队发现了一起采用相同攻击策略的新钓鱼邮件活动。在本篇博客中,我们将分析此次攻击中使用的文件,并OPSWAT Deep Content Disarm and Reconstruction (Deep CDR™ Technology)如何帮助防范此类攻击。
攻击向量
使用的攻击流程非常普通:
- 向受害者发送带有 HTML 附件的网络钓鱼电子邮件。
- 当受害者打开 HTML 文件时,它会自动下载一个恶意宏 Excel 文件。
- 当受害者打开该 Excel 文件时,会释放恶意有效载荷
HTML和Excel文件于 2020 年 2 月初在metadefender.opswat.com上进行了检查。
经识别,该 HTML 文件是一个伪造的 Cloudflare 页面,其 JavaScript 相对简单,可在 5 秒后将用户重定向到下载页面。
Excel 文件包含多个混淆宏。
当受害者打开文件并启用宏时,会出现一个伪造的 Windows 进程用户界面(实际上是一个 Visual Basic 表单),让受害者误以为 Excel 正在配置什么。
在后台,宏运行并在受害者的系统中投放几个文件,文件路径如下:C:\Users\user\AppData\Local\Temp\copy13.xlsx, C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates\sample_.dll (RAT)
Deep CDR™ 技术如何保护您免受网络钓鱼攻击?
如果 HTML 文件经过 Deep CDR™ 技术进行安全处理,所有风险载体都将被清除,包括 JavaScript。处理完成后,用户打开经过安全处理的文件时,不会出现前述的重定向。因此,恶意 Excel 文件也无法被下载。
此外,TA505的网络钓鱼活动曾直接将恶意Excel文件作为电子邮件附件发送给受害者。在此情况下,Deep CDR™技术同样能发挥显著作用。它会移除文件中的所有宏和OLE对象,并递归清理文件中的所有图像。
结论
据观察,TA505 近期正积极开展电子邮件钓鱼攻击活动。攻击者使用了多种复杂的恶意软件,以提高入侵系统的成功率。建议企业加强员工的钓鱼攻击防范意识培训,并完善其安全系统。 MetaDefender Core 依托 6 项业界领先的网络安全技术,结合 MetaDefender Email Security,为您的组织提供最全面的保护。MetaDefender Multiscanning 利用超过35个商用杀毒引擎的强大功能,可检测近100%的已知恶意软件,而Deep CDR™技术则能抵御未知威胁引发的零日攻击。此外,作为关键的个人身份信息(PII)保护层, Proactive DLP 可防止文件和电子邮件中的敏感数据流入或流出您的组织。
安排与OPSWAT 技术专家会面,了解如何保护贵组织免受高阶网络威胁。
参考资料
