TA505 ist eine Cyberkriminalitätsgruppe, die seit 2014 aktiv ist und es auf Bildungs- und Finanzeinrichtungen abgesehen hat. Im Februar 2020 meldete die Universität Maastricht, eine öffentliche Universität in den Niederlanden, dass sie Opfer eines massiven Ransomware-Angriffs von TA505 wurde, bei dem Phishing-E-Mails verwendet wurden. TA505 nutzt in der Regel Phishing-E-Mails, um bösartige Excel-Dateien zu versenden, die beim Öffnen Nutzdaten abwerfen. Die Phishing-E-Mails von TA505 verwenden Anhänge mit einem HTML-Redirector, um die bösartigen Excel-Dateien zu übermitteln, so eine Untersuchung von TrendMicro vom Juli 2019. Kürzlich wurde eine neue Phishing-E-Mail-Kampagne mit der gleichen Angriffsstrategie vom Microsoft Security Intelligence Team entdeckt. In diesem Blog-Beitrag werfen wir einen Blick auf die Dateien, die in dem Angriff verwendet wurden, und untersuchen, wie die Deep Content Disarm and Reconstruction Technologie von OPSWAT(Deep CDR ) helfen kann, ähnliche Angriffe zu verhindern.
Angriffsvektoren
Der verwendete Angriffsfluss ist sehr verbreitet..:
- Eine Phishing-E-Mail mit einem HTML-Anhang wird an ein Opfer gesendet.
- Wenn das Opfer die HTML-Datei öffnet, wird automatisch eine bösartige Excel-Makro-Datei heruntergeladen.
- Diese Excel-Datei enthält eine bösartige Nutzlast, wenn das Opfer sie öffnet
Die HTML- und Excel-Dateien wurden Anfang Februar 2020 auf metadefender.opswat.com geprüft.
Die HTML-Datei wurde als gefälschte Cloudflare-Seite mit relativ einfachem JavaScript identifiziert, um die Benutzer nach 5 Sekunden auf eine Download-Seite umzuleiten.
Die Excel-Datei enthält mehrere verdeckte Makros.
Wenn das Opfer die Datei öffnet und das Makro aktiviert, erscheint eine gefälschte Windows Process UI, bei der es sich in Wirklichkeit um ein Visual Basic-Formular handelt, das dem Opfer vorgaukelt, Excel würde etwas konfigurieren.
Im Hintergrund wird das Makro ausgeführt und legt auf dem System des Opfers eine Reihe von Dateien mit den folgenden Dateipfaden ab: C:\Users\user\AppData\Local\Temp\copy13.xlsx, C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates\sample_.dll (RAT)
Wie kann Deep CDR Sie vor Phishing-Angriffen schützen?
Wenn die HTML-Datei durch Deep CDR bereinigt wird, werden alle Risikovektoren, einschließlich Javascript, entfernt. Nach diesem Vorgang öffnet der Benutzer die bereinigte Datei ohne die erwähnte Umleitung. Infolgedessen kann auch die bösartige Excel-Datei nicht heruntergeladen werden.
Außerdem wurde bei den Phishing-Kampagnen von TA505 die bösartige Excel-Datei als E-Mail-Anhang direkt an die Opfer gesendet. Auch in diesem Fall ist Deep CDR wirksam. Es entfernt alle Makros, OLE und bereinigt auch rekursiv alle Bilder in der Datei.
Schlussfolgerung
Es wurde festgestellt, dass TA505 heutzutage bei E-Mail-Phishing-Kampagnen sehr aktiv ist. Es werden verschiedene ausgeklügelte Malware-Typen verwendet, um die Chancen zu erhöhen, in Ihr System einzudringen. Unternehmen wird empfohlen, ihre Mitarbeiter für Phishing zu sensibilisieren und ihr Sicherheitssystem zu verbessern. MetaDefender Core Durch den Einsatz von 6 branchenführenden Cybersecurity-Technologien in Kombination mit MetaDefender Email Securitybietet den umfassendsten Schutz für Ihr Unternehmen. MetaDefenderDie Technologie von Multiscanning nutzt die Leistung von mehr als 35 kommerziellen AV-Engines, um nahezu 100 % bekannte Malware zu erkennen, während Deep CDR vor Zero-Day-Angriffen durch unbekannte Bedrohungen schützt. Darüber hinaus bietet sie einen wichtigen Schutz für vertrauliche Daten, Proactive DLP verhindert, dass sensible Daten in Dateien und E-Mails in Ihr Unternehmen gelangen oder es verlassen.
Vereinbaren Sie einen Termin mit einem technischen Experten von OPSWAT , um zu erfahren, wie Sie Ihr Unternehmen vor fortschrittlichen Cyber-Bedrohungen schützen können.
Referenz:
