TA505 是一個網路犯罪組織,自 2014 年起開始活躍,主要針對教育與金融機構。2020 年 2 月,荷蘭公立大學 Maastricht University 報告,該校成為 TA505利用釣魚電子郵件進行大規模贖金軟體攻擊的受害者。TA505 通常利用釣魚電子郵件傳送惡意 Excel 檔案,一旦開啟就會丟下有效載荷。根據 TrendMicro 於 2019 年 7 月進行的研究,TA505 的釣魚電子郵件使用具有 HTML 重定向器的附件來傳送惡意 Excel 檔案。最近,微軟安全情報團隊發現了一個使用相同攻擊策略的新網路釣魚電子郵件活動。在這篇文章文章中,我們將檢視該攻擊所使用的檔案,並探討OPSWAT的Deep Content Disarm and Reconstruction 技術 (Deep CDR)如何協助預防類似的攻擊。
攻擊媒介
使用的攻擊流程非常普遍..:
- 釣魚電子郵件連同 HTML 附件會傳送給受害者。
- 當受害者開啟 HTML 檔案時,會自動下載惡意的巨集 Excel 檔案。
- 當受害者開啟此 Excel 檔案時,會丟下惡意的有效載荷
2020 年 2 月初,在metadefender.opswat.com上檢查了HTML和Excel檔案。
該 HTML 檔案被識別為虛假 Cloudflare 頁面,其 JavaScript 相對簡單,可在 5 秒後重定向使用者至下載頁面。
Excel 檔案包含數個混淆的巨集。
當受害者開啟檔案並啟用巨集時,一個虛假的 Windows Process UI (實際上是 Visual Basic 表單) 就會出現,讓受害者以為 Excel 正在設定某些東西。
在後台,巨集運行並在受害者的系統上丟下幾個檔案,檔案路徑如下:C:\Users\user\AppData\Local\Temp\copy13.xlsx, C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates\sample_.dll (RAT)
Deep CDR 如何保護您免受網路釣魚攻擊?
如果 HTML 檔案經過Deep CDR 刪除,所有風險向量都會被移除,包括 Javascript。在此過程之後,使用者開啟已消毒的檔案時,不會出現上述的重定向。因此,惡意 Excel 檔案也無法下載。
此外,TA505 的網路釣魚活動使用將惡意 Excel 檔案作為電子郵件附件直接傳送給受害者。Deep CDR 在這種情況下同樣有效。它會移除檔案中的所有巨集、OLE,並遞迴地清除所有圖片。
總結:關鍵OT系統受到保護 服務不間斷
有目共睹,如今 TA505 在電子郵件釣魚活動中非常活躍。各種複雜的惡意軟體類型已被用來增加進入您系統的機會。建議企業改善員工的網路釣魚意識訓練以及安全系統。 MetaDefender Core利用6項業界領先的網路安全技術,結合 MetaDefender Email Security為您的組織帶來最全面的保護。MetaDefender的Multiscanning 技術利用超過 35 個商用 AV 引擎的強大功能,幾乎 100% 偵測到已知的惡意軟體,同時Deep CDR 未知威脅的零時差攻擊。此外,作為重要的 PII 保護層、 Proactive DLP可防止檔案和電子郵件中的敏感資料進入或離開您的組織。
安排與OPSWAT 技術專家會面,瞭解如何保護您的組織免受先進網路威脅的侵害。
參考:
