TA505 是一个网络犯罪集团,自 2014 年以来一直针对教育和金融机构开展活动。2020 年 2 月,荷兰公立大学马斯特里赫特大学(Maastricht University)报告称,它是 TA505利用钓鱼电子邮件发动的大规模勒索软件攻击的受害者。TA505 通常利用钓鱼电子邮件发送恶意 Excel 文件,一旦打开这些文件就会投放有效载荷。根据趋势科技 2019 年 7 月进行的研究,TA505 的钓鱼电子邮件使用具有 HTML 重定向器的附件来发送恶意 Excel 文件。最近,微软安全情报团队发现了一个使用相同攻击策略的新型网络钓鱼电子邮件活动。在本篇博文中,我们将介绍攻击中使用的文件,并探讨OPSWAT的Deep Content Disarm and Reconstruction 技术 (Deep CDR) 如何帮助防范类似攻击。
攻击向量
使用的攻击流程非常普通:
- 向受害者发送带有 HTML 附件的网络钓鱼电子邮件。
- 当受害者打开 HTML 文件时,它会自动下载一个恶意宏 Excel 文件。
- 当受害者打开该 Excel 文件时,会释放恶意有效载荷
HTML和Excel文件于 2020 年 2 月初在metadefender.opswat.com上进行了检查。
经识别,该 HTML 文件是一个伪造的 Cloudflare 页面,其 JavaScript 相对简单,可在 5 秒后将用户重定向到下载页面。
Excel 文件包含多个混淆宏。
当受害者打开文件并启用宏时,会出现一个伪造的 Windows 进程用户界面(实际上是一个 Visual Basic 表单),让受害者误以为 Excel 正在配置什么。
在后台,宏运行并在受害者的系统中投放几个文件,文件路径如下:C:\Users\user\AppData\Local\Temp\copy13.xlsx, C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates\sample_.dll (RAT)
Deep CDR 如何保护您免受网络钓鱼攻击?
如果通过Deep CDR 对 HTML 文件进行了消毒,所有风险载体(包括 Javascript)都将被移除。在此过程之后,用户打开经过消毒的文件时不会出现上述重定向。因此,恶意 Excel 文件也无法下载。
此外,TA505 的网络钓鱼活动还将恶意 Excel 文件作为电子邮件附件直接发送给受害者。在这种情况下,Deep CDR 同样有效。它删除了文件中的所有宏、OLE 和递归消毒的所有图像。
结论
如今,TA505 在电子邮件钓鱼活动中非常活跃。各种复杂的恶意软件被用来增加进入系统的机会。建议企业加强对员工的网络钓鱼意识培训和安全系统。 MetaDefender Core利用 6 种行业领先的网络安全技术,结合 MetaDefender Email Security为您的企业提供最全面的保护。MetaDefender Multiscanning 技术利用超过 35 个商业反病毒引擎的强大功能,几乎可以 100% 检测到已知恶意软件,同时还可以Deep CDR 防范未知威胁的零日攻击。此外,作为一个重要的 PII 保护层、 Proactive DLP防止文件和电子邮件中的敏感数据进入或离开您的组织。
安排与OPSWAT 技术专家会面,了解如何保护贵组织免受高阶网络威胁。
参考资料
