TA505 是一個自 2014 年起便活躍的網路犯罪集團,主要鎖定教育及金融機構。2020 年 2 月,荷蘭公立大學馬斯特里赫特大學(Maastricht University)通報,該校遭 TA505利用釣魚電子郵件發動的大規模勒索軟體攻擊。 根據 TrendMicro 於 2019 年 7 月進行的研究,TA505 通常利用釣魚郵件傳送惡意 Excel 檔案,一旦開啟便會釋放有效載荷。TA505 的釣魚郵件會使用內含 HTML 重定向程式的附件來傳送這些惡意 Excel 檔案。 近期,微軟資安情報團隊發現了一波採用相同攻擊策略的新型釣魚郵件活動。在本篇部落格文章中,我們將檢視攻擊中使用的檔案,並探討OPSWAT Deep Content Disarm and Reconstruction (Deep CDR™ Technology)如何協助防範類似攻擊。
攻擊媒介
使用的攻擊流程非常普遍..:
- 釣魚電子郵件連同 HTML 附件會傳送給受害者。
- 當受害者開啟 HTML 檔案時,會自動下載惡意的巨集 Excel 檔案。
- 當受害者開啟此 Excel 檔案時,會丟下惡意的有效載荷
2020 年 2 月初,在metadefender.opswat.com上檢查了HTML和Excel檔案。
該 HTML 檔案被識別為虛假 Cloudflare 頁面,其 JavaScript 相對簡單,可在 5 秒後重定向使用者至下載頁面。
Excel 檔案包含數個混淆的巨集。
當受害者開啟檔案並啟用巨集時,一個虛假的 Windows Process UI (實際上是 Visual Basic 表單) 就會出現,讓受害者以為 Excel 正在設定某些東西。
在後台,巨集運行並在受害者的系統上丟下幾個檔案,檔案路徑如下:C:\Users\user\AppData\Local\Temp\copy13.xlsx, C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates\sample_.dll (RAT)
Deep CDR™ 技術如何保護您免受網路釣魚攻擊?
若 HTML 檔案已透過 Deep CDR™ 技術進行淨化,所有風險載體(包括 JavaScript)都將被移除。處理完成後,使用者開啟經淨化的檔案時,便不會發生前述的重新導向。因此,惡意 Excel 檔案也無法被下載。
此外,TA505 的網路釣魚攻擊活動曾直接將惡意 Excel 檔案作為電子郵件附件發送給受害者。在此情況下,Deep CDR™ 技術同樣能發揮效用。它會移除所有巨集與 OLE 元件,並對檔案中的所有圖片進行遞迴式清理。
總結:關鍵OT系統受到保護 服務不間斷
據觀察,TA505 近期正積極展開電子郵件釣魚攻擊。該組織運用了多種複雜的惡意軟體,以提高入侵系統的成功率。建議企業加強員工的釣魚攻擊防範意識培訓,並強化其安全系統。 MetaDefender Core 運用 6 項業界領先的網路安全技術,結合 MetaDefender Email Security,為您的組織提供最全面的防護。MetaDefender Multiscanning 運用超過 35 種商用防毒引擎的強大效能,可偵測近 100% 的已知惡意軟體,而 Deep CDR™ 技術則能抵禦未知威脅發動的零日攻擊。此外,作為關鍵的個人識別資訊 (PII) 保護層, Proactive DLP 可防止檔案與電子郵件中的敏感資料流入或流出您的組織。
安排與OPSWAT 技術專家會面,瞭解如何保護您的組織免受先進網路威脅的侵害。
參考:
