TA505 ist eine seit 2014 aktive Cyberkriminellen-Gruppe, die es auf Bildungseinrichtungen und Finanzinstitute abgesehen hat. Im Februar 2020 meldete die Universität Maastricht, eine öffentliche Universität in den Niederlanden, dass sie Opfer eines massiven Ransomware-Angriffs von TA505 geworden sei, der über Phishing-E-Mails durchgeführt wurde. TA505 nutzt in der Regel Phishing-E-Mails, um schädliche Excel-Dateien zu versenden, die beim Öffnen ihre Payloads abwerfen. Laut einer Untersuchung von TrendMicro aus dem Juli 2019 enthalten die Phishing-E-Mails von TA505 Anhänge mit einem HTML-Redirector, über den die schädlichen Excel-Dateien bereitgestellt werden. Kürzlich wurde vom Microsoft Security Intelligence Team eine neue Phishing-E-Mail-Kampagne entdeckt, die dieselbe Angriffsstrategie verwendet. In diesem Blogbeitrag werfen wir einen Blick auf die bei dem Angriff verwendeten Dateien und untersuchen, wie Deep Content Disarm and Reconstruction (Deep CDR™-Technologie) OPSWATdazu beitragen kann, ähnliche Angriffe zu verhindern.
Angriffsvektoren
Der verwendete Angriffsfluss ist sehr verbreitet..:
- Eine Phishing-E-Mail mit einem HTML-Anhang wird an ein Opfer gesendet.
- Wenn das Opfer die HTML-Datei öffnet, wird automatisch eine bösartige Excel-Makro-Datei heruntergeladen.
- Diese Excel-Datei enthält eine bösartige Nutzlast, wenn das Opfer sie öffnet
Die HTML- und Excel-Dateien wurden Anfang Februar 2020 auf metadefender.opswat.com geprüft.
Die HTML-Datei wurde als gefälschte Cloudflare-Seite mit relativ einfachem JavaScript identifiziert, um die Benutzer nach 5 Sekunden auf eine Download-Seite umzuleiten.
Die Excel-Datei enthält mehrere verdeckte Makros.
Wenn das Opfer die Datei öffnet und das Makro aktiviert, erscheint eine gefälschte Windows Process UI, bei der es sich in Wirklichkeit um ein Visual Basic-Formular handelt, das dem Opfer vorgaukelt, Excel würde etwas konfigurieren.
Im Hintergrund wird das Makro ausgeführt und legt auf dem System des Opfers eine Reihe von Dateien mit den folgenden Dateipfaden ab: C:\Users\user\AppData\Local\Temp\copy13.xlsx, C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates\sample_.dll (RAT)
Wie kann die Deep CDR™-Technologie Sie vor Phishing-Angriffen schützen?
Wird die HTML-Datei mit der Deep CDR™-Technologie bereinigt, werden alle Risikovektoren entfernt, einschließlich JavaScript. Nach Abschluss des Vorgangs öffnet der Benutzer die bereinigte Datei, ohne dass die erwähnte Weiterleitung erfolgt. Folglich kann auch die schädliche Excel-Datei nicht heruntergeladen werden.
Zudem versendete die Phishing-Kampagne von TA505 die schädliche Excel-Datei direkt als E-Mail-Anhang an ihre Opfer. Auch in diesem Fall erweist sich die Deep CDR™-Technologie als wirksam. Sie entfernt alle Makros und OLE-Elemente und bereinigt zudem rekursiv alle Bilder in der Datei.
Schlussfolgerung
Es ist zu beobachten, dass TA505 derzeit sehr aktiv mit E-Mail-Phishing-Kampagnen ist. Es wurden verschiedene ausgeklügelte Malware-Typen eingesetzt, um die Chancen zu erhöhen, in Ihr System einzudringen. Unternehmen wird empfohlen, sowohl die Schulungen ihrer Mitarbeiter zum Thema Phishing als auch ihre Sicherheitssysteme zu verbessern. MetaDefender Core nutzt 6 branchenführende Cybersicherheitstechnologien in Kombination mit MetaDefender Email Securitybietet Ihrem Unternehmen den umfassendsten Schutz. Multiscanning MetaDefendernutzt die Leistungsfähigkeit von mehr als 35 kommerziellen Antiviren-Engines, um nahezu 100 % der bekannten Malware zu erkennen, während die Deep CDR™-Technologie vor Zero-Day-Angriffen durch unbekannte Bedrohungen schützt. Darüber hinaus dient Proactive DLP dass sensible Daten in Dateien und E-Mails Ihr Unternehmen weder verlassen noch dort gelangen.
Vereinbaren Sie einen Termin mit einem technischen Experten von OPSWAT , um zu erfahren, wie Sie Ihr Unternehmen vor fortschrittlichen Cyber-Bedrohungen schützen können.
Referenz:
